Configurar Sophos Firewall Remote Access en Linux
Para Windows y macOS existe con Sophos Connect un cliente propio para IPsec y SSL VPN. Para Linux, Sophos no ofrece un cliente Sophos Connect propio. Quien quiera conectarse a Sophos Firewall Remote Access desde Linux utiliza en su lugar herramientas estándar: el cliente OpenVPN habitual para SSL VPN o NetworkManager con el plugin strongSwan para IPsec.
Este artículo describe ambos caminos y clasifica cuándo conviene cada uno. Para la decisión fundamental entre IPsec y SSL VPN, primero encaja Sophos Connect o SSL VPN: ¿qué solución de Remote Access conviene?. Para la configuración de SSL VPN Remote Access en el firewall, la base adecuada es configurar Sophos Firewall SSL VPN Remote Access.
Clasificación frente a otros clientes
- Windows o macOS con Sophos Connect: Instalar el cliente Sophos Connect en Windows o Instalar el cliente Sophos Connect en macOS.
- iOS o Android con OpenVPN Connect: Configurar Sophos SSL VPN en iPhone y iPad o Configurar Sophos SSL VPN en Android.
- Linux con OpenVPN o NetworkManager-strongSwan: este artículo.
Linux no es, por tanto, un caso especial en sentido negativo, sino que sigue el mismo patrón que las plataformas móviles: en lugar de un cliente propio del fabricante, se usan herramientas estándar consolidadas que trabajan con el archivo de configuración proporcionado por el firewall.
Requisitos previos
- Sophos Firewall con SSL VPN Remote Access o IPsec Remote Access ya configurado.
- Cuenta de usuario con permiso VPN y, si está activado, MFA funcionando.
- Para SSL VPN: el paquete del cliente OpenVPN en el sistema Linux, por ejemplo
openvpnen Debian/Ubuntu o la fuente de paquetes específica de la distribución correspondiente. - Para IPsec: NetworkManager con el plugin strongSwan, por ejemplo
network-manager-strongswanen Debian/Ubuntu. - Acceso al VPN Portal o a un archivo de configuración proporcionado administrativamente.
⚠️ Para Linux no existe un cliente Sophos Connect oficial. Las guías o descargas que anuncian un “Sophos Connect para Linux” no forman parte de la oferta oficial de Sophos y no deberían instalarse sin comprobar previamente.
Configurar SSL VPN con OpenVPN
El camino documentado oficialmente por Sophos para Linux es SSL VPN Remote Access con el cliente OpenVPN clásico.
1. Instalar el cliente OpenVPN
En la mayoría de distribuciones basta con el paquete estándar del gestor de paquetes, por ejemplo:
sudo apt install openvpn
Quien prefiera una interfaz gráfica puede instalar además el plugin NetworkManager-OpenVPN, por ejemplo network-manager-openvpn-gnome, e importar la conexión a través de él en lugar de iniciarla por terminal.
2. Descargar el archivo de configuración
- Abrir el VPN Portal de Sophos Firewall en el navegador.
- Iniciar sesión con el usuario VPN.
- En la selección de configuración, elegir Linux.
- Descargar el archivo
.ovpny guardarlo de forma segura.
3. Iniciar la conexión desde el terminal
sudo openvpn --config sophos-vpn.ovpn
Tras el inicio, OpenVPN solicita, según la configuración, el nombre de usuario y la contraseña, y después, en su caso, un código de verificación MFA. La conexión se mantiene mientras el proceso esté en ejecución. Si se cierra la ventana del terminal, el túnel también se desconecta.
Para un funcionamiento más duradero sin un terminal abierto, OpenVPN puede configurarse como servicio systemd o la conexión puede gestionarse mediante NetworkManager.
4. Importar la conexión mediante NetworkManager (opcional)
- Abrir la configuración de red.
- Añadir una nueva conexión VPN y elegir Importar desde archivo.
- Seleccionar el archivo
.ovpndescargado. - Guardar el nombre de usuario si se desea; no guardar la contraseña de forma permanente en texto plano si el MFA está activo.
- Iniciar la conexión desde la interfaz gráfica e introducir las credenciales o el código MFA.
Esta variante es más práctica en el día a día porque puede activarse y desactivarse como cualquier otra conexión de red, sin necesidad de mantener un terminal abierto.
IPsec con NetworkManager-strongSwan (alternativa)
Si se debe usar IPsec en lugar de SSL VPN, en Linux el camino habitual es el plugin NetworkManager-strongSwan. Esta variante está menos estandarizada en Linux que la vía OpenVPN y debería preverse sobre todo para escenarios de Remote Access con IKEv2.
1. Instalar el plugin
sudo apt install network-manager-strongswan
El nombre exacto del paquete puede variar según la distribución.
2. Comprobar el tipo de conexión en el firewall
El plugin strongSwan para NetworkManager soporta IKEv2. En el firewall, el perfil IPsec de Remote Access debe estar configurado correspondientemente para IKEv2, no para el IKEv1 más antiguo. Para la autenticación, el plugin soporta tanto métodos basados en certificado como EAP, por ejemplo nombre de usuario y contraseña. Con autenticación por clave precompartida (Preshared Key), el plugin exige un secreto suficientemente robusto; deberían evitarse siempre PSK cortas o simples.
3. Crear la conexión
- Abrir la configuración de red.
- Añadir una nueva conexión VPN del tipo IPsec/IKEv2 (strongswan).
- Introducir la dirección de gateway de Sophos Firewall.
- Elegir el método de autenticación acorde a la configuración del firewall: certificado o nombre de usuario/contraseña (EAP).
- Con autenticación basada en certificado, guardar el certificado del servidor o la CA que usa el firewall.
- Guardar la conexión y probarla.
Como esta vía depende en mayor medida de la distribución, la versión del plugin y la configuración IPsec exacta en el firewall, es más propensa a errores que la vía OpenVPN. Por eso, para la mayoría de entornos, SSL VPN mediante OpenVPN es el primer enfoque más robusto para clientes Linux.
Comprobar después de la configuración
- El estado de conexión en OpenVPN o NetworkManager muestra una sesión activa.
- Los nombres DNS internos se resuelven a través del túnel VPN.
- Un destino interno permitido es alcanzable, un destino no permitido permanece bloqueado.
- En el Log Viewer del firewall aparece tráfico de la zona
VPNcon la regla de firewall esperada. - Con MFA: el código de verificación se solicita correctamente en cada nueva conexión.
- Tras reiniciar el cliente Linux, la conexión se restablece correctamente sola o se inicia manualmente de forma consciente, según cómo se haya configurado.
Si la conexión está establecida pero no pasa tráfico, ayuda Probar una regla de firewall con Log Viewer, Policy Test y Packet Capture.
Errores típicos
- Se buscó una guía externa de “Sophos Connect para Linux”: ese cliente no existe oficialmente. Usar en su lugar OpenVPN o NetworkManager-strongSwan.
- Se cerró la ventana del terminal y se perdió la conexión: con la llamada directa a
openvpn --config, un terminal cerrado desconecta el túnel. Para un funcionamiento permanente, usar la importación en NetworkManager o un servicio systemd. - Se siguió usando un archivo
.ovpnantiguo tras un cambio en el firewall: tras cambios en el gateway, el certificado, el puerto del VPN Portal o la autenticación, el archivo de configuración debe volver a descargarse. - Se configuró IKEv1 en lugar de IKEv2 en el firewall: el plugin NetworkManager-strongSwan solo soporta IKEv2. Comprobar el perfil del lado del firewall y ajustarlo si es necesario.
- Clave precompartida demasiado corta: las versiones más recientes del plugin exigen una longitud mínima de PSK. Un secreto demasiado corto provoca un error de conexión, no una conexión insegura pero funcional.
- Certificado o CA incorrectos guardados: con autenticación IPsec basada en certificado, debe guardarse exactamente la CA que también usa el firewall. Un certificado ligeramente distinto o caducado provoca una interrupción de la conexión sin un mensaje de error informativo en el cliente.
- Código MFA asignado incorrectamente: con OpenVPN y MFA, el código de verificación debe introducirse en el campo correcto y en el momento correcto. En caso de duda, comparar el orden de inicio de sesión con un cliente Windows o macOS que funcione.
FAQ
¿Existe un cliente Sophos Connect oficial para Linux?
¿Qué camino es más sencillo en Linux: SSL VPN o IPsec?
¿Por qué se desconecta la conexión VPN si cierro el terminal?
sudo openvpn --config, la conexión se ejecuta en el proceso en primer plano del terminal. Para un funcionamiento independiente de la sesión de terminal, la conexión debería importarse mediante NetworkManager o configurarse como servicio.