Configurar Sophos SSL VPN con Sophos Connect en Windows
SSL VPN sigue siendo una vía importante de Remote Access en Sophos Firewall, especialmente cuando IPsec da problemas en hoteles, redes de invitados o redes externas con filtros estrictos. En Windows, SSL VPN se usa hoy en muchos entornos mediante Sophos Connect.
Este artículo describe la instalación en Windows, la importación de la configuración .ovpn y las comprobaciones más importantes después de establecer la conexión. Para la decisión básica entre Sophos Connect, SSL VPN, IPsec, clientes móviles y ZTNA, conviene empezar por Sophos Connect o SSL VPN: ¿qué solución de Remote Access encaja?.
Clasificación
Esta guía se aplica a Sophos Firewall con SFOS. Según la plataforma o el punto de partida, puede encajar mejor otro artículo:
- Configurar SSL VPN con Sophos Connect en Windows: Este artículo.
- Configurar SSL VPN en macOS: Configurar Sophos SSL VPN en macOS.
- Configurar SSL VPN en iOS: Configurar Sophos SSL VPN en iOS.
- Evaluar Sophos Connect en general: Sophos Connect o SSL VPN: ¿qué solución de Remote Access encaja?.
- Mantener versiones y perfiles de Sophos Connect Client: Comprobar la versión de Sophos Connect Client y actualizarla de forma segura.
Importante: Sophos Connect no solo admite SSL VPN en Windows. Desde Sophos Connect 2.0, Remote Access SSL VPN también es posible en macOS. Las plataformas móviles como iOS y Android no son compatibles directamente con Sophos Connect para IPsec y SSL VPN; allí se utilizan clientes compatibles con OpenVPN o funciones del sistema operativo.
Requisitos
- Sophos Firewall con configuración de SSL-VPN-Remote-Access ya preparada
- Usuario con autorización para SSL VPN
- Acceso al VPN Portal o a un archivo
.ovpnproporcionado administrativamente - Sophos Connect en una versión actual y adecuada para la plataforma Windows
- Windows 10 o Windows 11; con Sophos Connect 2.5 o posterior, también Windows ARM
- MFA/OTP configurado, si Remote Access se protege con ello
- Reglas de firewall para tráfico desde la zona
VPN - Proceso claro para distribuir nuevos archivos
.ovpndespués de cambios
Si la configuración de SSL VPN en el firewall todavía no está lista, primero debería implementarse Configurar Sophos Firewall SSL VPN Remote Access.
Antes de una actualización a SFOS 22 MR1, también debería comprobarse si todavía existen configuraciones antiguas de Remote Access IPsec. SSL VPN no se ve afectado directamente, pero muchas organizaciones vuelven a evaluar Remote Access en ese momento. El procedimiento se describe en Migrar Legacy Remote Access IPsec antes de SFOS 22 MR1.
Planificar antes de la descarga
Antes de que los usuarios descarguen el cliente, debe estar claro cómo se va a operar SSL VPN. Muchos errores posteriores no se producen durante la instalación, sino por perfiles antiguos, autorizaciones poco claras o reglas de firewall demasiado amplias.
Preguntas importantes de planificación:
- Usuarios: ¿Qué usuarios o grupos están autorizados como Policy members para SSL VPN?
- Portal: ¿Debe el VPN Portal estar accesible desde internet o se distribuye el archivo
.ovpnde forma administrativa? - Certificado: ¿El certificado coincide con el FQDN público y el navegador no muestra advertencias?
- MFA: ¿Se solicita OTP/MFA para Remote Access y se ha completado el despliegue de tokens?
- DNS: ¿Se necesitan servidores DNS internos y dominios de búsqueda?
- Acceso: ¿A qué redes y servicios internos se puede acceder desde la zona
VPN? - Operación: ¿Quién actualiza Sophos Connect y distribuye nuevos perfiles después de cambios?
Si el VPN Portal es accesible públicamente, no debería tratarse solo como una página de descarga. Es un servicio de login del firewall y forma parte de la superficie de ataque. Por eso deben revisarse conscientemente Device Access, certificado, MFA, logging y posibles restricciones por origen o país.
1. Iniciar sesión en el VPN Portal
Abrir el VPN Portal de Sophos Firewall en el navegador e iniciar sesión con el usuario VPN.

Si el navegador advierte sobre el certificado, debe revisarse la causa. En entornos productivos, un certificado válido para el VPN Portal es más limpio que una excepción permanente en el navegador. En portales públicos, certificado, MFA y Device Access no son detalles secundarios, sino parte de la seguridad de Remote Access. Para el endurecimiento encaja Device Access y Local Service ACL en Sophos Firewall.
Si el usuario no ve una configuración SSL VPN después de iniciar sesión correctamente, rara vez es un problema de Windows. Primero se debe comprobar si el usuario o su grupo está incluido como Policy members en la SSL-VPN-Policy correcta y si se está accediendo al portal adecuado.
2. Descargar Sophos Connect y la configuración SSL VPN
En el VPN Portal, cambiar al área VPN. Allí se proporcionan el Sophos Connect Client y la configuración SSL VPN. Para SSL VPN, el archivo relevante es el .ovpn.

.ovpn; el archivo debe corresponder a la configuración actual del firewall.Sophos Connect Client también puede descargarse directamente desde el sitio web de Sophos: descargar Sophos Connect Client.
En entornos administrados, el cliente no debería instalarse de forma improvisada. Es mejor usar un paquete de software definido, con versión clara, grupo de prueba y proceso de actualización. La versión aprobada debe derivarse de las Release Notes oficiales, del VPN Portal o del paquete de software interno, no de descargas aisladas en equipos de usuario. Las versiones actuales de Sophos Connect también incluyen actualizaciones de seguridad y componentes, por ejemplo para OpenVPN u OpenSSL.
Si en el dispositivo Windows todavía hay instalado un cliente SSL VPN antiguo u otro cliente basado en OpenVPN para la misma conexión, ese estado debería limpiarse antes del despliegue. Mantener varios clientes VPN en paralelo lleva rápidamente a adaptadores incorrectos, perfiles antiguos y casos de soporte poco claros.
3. Instalar Sophos Connect
Ejecutar el setup y seguir los pasos de instalación.

Si durante la instalación debe confirmarse un adaptador de red, forma parte del cliente VPN. En entornos Windows administrados, este paso debería prepararse correctamente mediante distribución de software o derechos de administrador local.
Después de la instalación conviene documentar la versión de Sophos Connect. Esto ayuda más tarde en casos de soporte, porque los errores de cliente, errores de perfil y errores de firewall se mezclan rápidamente. Para la operación continua encaja Comprobar la versión de Sophos Connect Client y actualizarla de forma segura.
4. Importar la configuración SSL VPN
Después de la instalación aparece el icono de Sophos Connect en el área de notificación de la barra de tareas de Windows. Abrir Sophos Connect e importar el archivo .ovpn descargado.



Cuando hay varios perfiles, el nombre de la conexión debe ser inequívoco. Los perfiles antiguos o duplicados generan rápidamente casos de soporte porque los usuarios seleccionan el destino incorrecto.
Después de cambios en la SSL-VPN-Policy, el certificado, gateway, DNS, grupo de usuarios o lógica de aprovisionamiento, la conexión debería importarse de nuevo. Una actualización del cliente no sustituye automáticamente un perfil .ovpn antiguo. Si Sophos Connect informa de una desviación de Policy o Compression, con frecuencia el problema es precisamente ese estado del perfil.
Indicaciones típicas de un perfil obsoleto o incorrecto:
- La conexión muestra un nombre de ubicación antiguo: normalmente sigue importado un perfil antiguo. Eliminar la conexión antigua e importar el
.ovpnactual. - Advertencia de certificado o gateway: FQDN, certificado u Override Hostname pueden haber cambiado. Descargar de nuevo el perfil desde el VPN Portal actual.
- DNS solo falla en algunos clientes: revisar valores DNS antiguos en el perfil o comportamiento DNS local. Reimportar el perfil y comprobar DNS en Windows.
- El usuario no ve ninguna configuración en el portal: revisar asignación de policy o contexto de usuario. Comprobar SSL-VPN-Policy y pertenencia a grupos.
5. Establecer la conexión VPN
Seleccionar la conexión importada y hacer clic en Connect. Después, iniciar sesión con el usuario VPN. Si MFA u OTP está activo, debe confirmarse el segundo factor según la configuración del firewall.
Después de establecer la conexión no basta con comprobar el estado en el cliente. Lo decisivo es si los destinos internos necesarios son accesibles.
Comprobaciones después de la instalación
Como mínimo, deben comprobarse estos puntos con un usuario de prueba:
- Sophos Connect muestra la conexión como conectada.
- El usuario recibe una dirección IP del pool SSL VPN esperado.
- Los nombres DNS internos se resuelven correctamente.
- Los servidores y aplicaciones necesarios son accesibles.
- El comportamiento de internet coincide con el diseño: Split Tunnel o Full Tunnel.
- En Log Viewer se ve la regla de firewall esperada para tráfico desde la zona
VPN. - MFA se solicita según lo previsto.
- Un destino deliberadamente no permitido permanece bloqueado.
- La desconexión y el nuevo inicio de sesión funcionan.
Si la conexión se establece pero no funciona ningún acceso, la causa suele estar no en el cliente, sino en reglas de firewall, DNS, routing o NAT. Para el análisis encaja Probar una regla de firewall con Log Viewer, Policy Test y Packet Capture.
Comprobación rápida en Windows
En el cliente Windows, unas pruebas sencillas ayudan antes de cambiar la configuración del firewall:
ipconfig /all
route print
nslookup intranet.example.local
ping 10.10.10.10
No se trata de permitir todos los pings. Lo decisivo es si el cliente recibió una dirección SSL VPN, si existe una ruta hacia la red interna de destino y si DNS resuelve mediante el servidor esperado. Si el acceso funciona por dirección IP pero no por nombre, DNS es más probable que la regla de firewall.
Operación y seguridad
SSL VPN es un servicio de Remote Access accesible públicamente. Por eso no solo debería documentarse la instalación, sino también la operación:
- Actualizar Sophos Connect con regularidad.
- Activar y probar MFA para Remote Access.
- Revisar regularmente los grupos VPN.
- Limitar los accesos al portal mediante Device Access y Local Service ACL en la medida de lo posible.
- Mantener estrechas y registrar las reglas de firewall para la zona
VPN. - Eliminar archivos
.ovpnantiguos y perfiles obsoletos. - Planificar Syslog o evaluación centralizada si se requiere conservación prolongada de logs.
Para fundamentos de MFA encaja Activar MFA para Sophos Firewall WebAdmin, VPN Portal y Remote Access. Para archivos de log y service logs es útil Sophos Firewall Troubleshooting: servicios y logs.
Troubleshooting
El inicio de sesión en el VPN Portal no funciona
Comprobar usuario, contraseña, MFA, pertenencia a grupos y servidor de autenticación. Si intervienen AD, RADIUS o Microsoft Entra ID SSO, la autenticación debería probarse separada de la VPN.
El usuario no ve configuración SSL VPN en el VPN Portal
Si el login funciona, pero no aparece ningún archivo .ovpn ni descarga SSL VPN, no se debe buscar en el cliente Windows. Primero se deben revisar SSL-VPN-Policy, Policy members, pertenencia a grupos, acceso al portal y límite de User-ID. El procedimiento del lado del firewall está en Configurar Sophos Firewall SSL VPN Remote Access.
El archivo .ovpn no se puede importar
Primero comprobar si el archivo pertenece realmente a la configuración actual del firewall y si Sophos Connect es lo bastante actual. Si hay caracteres especiales en certificados o datos de usuario, debería utilizarse una versión actual del cliente.
Si falla la descarga del archivo .ovpn en el propio VPN Portal aunque el login y la autorización sean correctos, también debería comprobarse el límite de User-ID de Sophos Firewall.
La conexión está activa, pero los sistemas internos no son accesibles
Comprobar DNS, reglas de firewall, routing, NAT y ruta de retorno. En Log Viewer debería verse tráfico desde la zona VPN. Si no aparecen logs, probablemente el tráfico no llega a la regla esperada o el logging está desactivado.
Si accesos pequeños funcionan pero transferencias de archivos mayores o determinadas aplicaciones se quedan colgadas, también debería comprobarse MTU/MSS: Comprobar MTU y MSS en Sophos Firewall ante problemas de VPN.
Sophos Connect informa de Policy mismatch o Compression mismatch
Estos mensajes suelen indicar que se cambió la configuración del firewall, pero el cliente todavía usa un perfil SSL VPN antiguo. En ese caso, debe descargarse de nuevo el archivo .ovpn actual desde el VPN Portal o redistribuirse administrativamente y luego importarse otra vez.
Después de cambiar el perfil, Sophos Connect sigue conectando al destino antiguo
En ese caso, suele quedar un registro de conexión antiguo o los usuarios eligen en el cliente el nombre de perfil incorrecto. Se deben eliminar los perfiles antiguos, importar de nuevo el .ovpn actual y elegir un nombre de perfil que identifique claramente ubicación, entorno o propósito.
La conexión se interrumpe en redes externas
SSL VPN suele ser más tolerante que IPsec, pero no es inmune a redes restrictivas, Captive Portals, obligación de proxy o WLAN inestables. En esos casos conviene probar con una segunda red y comprobar si Split Tunnel, puerto, protocolo o ZTNA encajan mejor.
Recopilar datos de soporte
Si el error no es visible directamente, Sophos Connect puede generar un informe técnico de soporte. Este contiene eventos de conexión, configuraciones VPN e información del endpoint. Antes de compartirlo, deben revisarse datos sensibles como nombres de usuario, hostnames internos, direcciones IP y FQDNs de gateway.
En el firewall ayudan en paralelo Log Viewer, sslvpn.log, openvpn-status*.log y la regla de firewall correspondiente. La asignación de archivos de log se describe en Sophos Firewall Troubleshooting: servicios y logs.