Ir al contenido
Avanet

Verificar el límite de ID de usuario de Sophos Firewall y las descargas del portal VPN

Sophos Firewall

Cuando los usuarios en el VPN Portal no pueden descargar una configuración .ovpn o ciertas funciones del portal y autenticación fallan inesperadamente, generalmente se piensa primero en SSL VPN, membresía de grupo, MFA o un problema de certificado. A menudo esto es correcto. Sin embargo, hay un punto menos obvio: las User IDs internas de Sophos Firewall.

Sophos Firewall utiliza un límite de 65,535 User IDs, que comparten usuarios y grupos. Aunque se pueden crear usuarios más allá de este límite, los usuarios con una ID asignada más alta pueden experimentar problemas funcionales. Un ejemplo típico son los archivos de configuración .ovpn que ya no se pueden descargar desde el portal VPN.

Este artículo ayuda a contextualizar el tema sin eliminar usuarios precipitadamente o reconstruir la configuración VPN.

Cuándo sospechar de este problema

El límite de ID de usuario no es un error estándar en entornos pequeños. Se vuelve relevante principalmente cuando, a lo largo de los años, se han creado muchos usuarios, grupos u objetos de directorio externo en el firewall.

Indicaciones típicas:

  • Un usuario puede iniciar sesión en el portal VPN, pero no puede descargar el archivo .ovpn.
  • Solo algunos usuarios se ven afectados, mientras que otros con la misma configuración VPN no.
  • La política SSL-VPN, la membresía de grupo y MFA parecen correctas.
  • En Authentication > Users hay muchos usuarios presentes.
  • Se han utilizado inicios de sesión AD, LDAP, RADIUS o Entra ID durante mucho tiempo.
  • Los usuarios o grupos antiguos nunca se han limpiado.
  • Un problema ocurre después de una migración, reestructuración de directorios o muchos usuarios de prueba.

Si el túnel VPN se establece pero luego no fluye tráfico, es un patrón de error diferente. En ese caso, es más probable que sean DNS, reglas de firewall, enrutamiento, NAT o el camino de retorno. Para este proceso, consulte Configurar Sophos SSL VPN con Sophos Connect en Windows o la guía de la plataforma correspondiente.

Qué son las User IDs en Sophos Firewall

Sophos Firewall gestiona usuarios y grupos internamente con IDs. Estas IDs no son lo mismo que un SID de Active Directory, una Entra Object ID o un nombre de usuario, sino una asignación interna del firewall.

Es importante:

  • El límite se aplica conjuntamente a usuarios y grupos.
  • Los usuarios de directorios externos no aparecen necesariamente como usuarios locales de inmediato.
  • Los usuarios de directorios externos a menudo aparecen en Authentication > Users solo cuando inician sesión en un servicio del firewall, como el User Portal o el VPN Portal.
  • Los usuarios y grupos eliminados o inactivos deben limpiarse regularmente para que las IDs puedan reutilizarse.

En entornos con Active Directory, la conexión AD en sí debe estar limpia primero. El proceso se describe en Conectar Active Directory con Sophos Firewall. Si los usuarios son reconocidos de manera transparente a través de inicios de sesión de Windows, también es relevante Configurar STAS en Sophos Firewall.

Verificar antes de eliminar

La limpieza de usuarios y grupos es una intervención administrativa. Antes de proceder, debe estar claro qué objetos realmente ya no se necesitan.

Debe verificarse:

ÁreaPor qué es importante
Acceso remotoLos usuarios o grupos pueden usarse en políticas SSL-VPN o IPsec
Reglas de firewallLos objetos de usuario o grupo pueden estar referenciados en reglas
User Portal y VPN PortalLos permisos del portal a menudo dependen de grupos
MFA y OTPLos usuarios eliminados pueden perder asignaciones de tokens
InformesLos análisis históricos pueden seguir conteniendo nombres de usuario
Directorios externosLos usuarios pueden reaparecer en el próximo inicio de sesión si aún están autorizados

⚠️ No se deben eliminar usuarios y grupos a ciegas solo porque hay muchas entradas. Primero verifique si el objeto todavía se usa en políticas, reglas, accesos al portal o flujos de autenticación.

Delimitar sistemáticamente

1. Comparar usuarios afectados

Primero, debe compararse un usuario que funciona con uno afectado:

  • mismo servidor de autenticación
  • mismo grupo de VPN o portal
  • mismo requisito de MFA
  • misma política SSL-VPN
  • mismo acceso al VPN Portal
  • misma ruta de cliente y navegador

Si solo un usuario nuevo o raramente utilizado se ve afectado, mientras que los usuarios más antiguos funcionan, la asignación interna de User ID se vuelve más interesante.

2. Verificar lista de usuarios

En WebAdmin:

Authentication > Users

Allí debe verificarse:

  • ¿Cuántos usuarios son visibles?
  • ¿Hay muchos usuarios locales antiguos?
  • ¿Hay cuentas de prueba, ex empleados o cuentas técnicas sin propósito?
  • ¿Se generan automáticamente usuarios de directorios externos en inicios de sesión del portal?
  • ¿Se importan grupos que no se utilizan en el firewall?

Dependiendo del entorno, también puede ser útil una exportación o una lista documentada para que las limpiezas no se realicen de manera impulsiva.

3. Limitar la importación de grupos

Muchos problemas no son causados por usuarios individuales, sino por importaciones de grupos demasiado amplias. Si se importan muchas grupos de Active Directory u otro directorio, rápidamente se acumulan objetos en el firewall que nunca se necesitan para reglas, VPN o portal.

En:

Authentication > Servers

debe verificarse qué servidores externos están conectados y qué grupos se han importado. Para propósitos de firewall y VPN, generalmente es suficiente con un pequeño número de grupos claramente nombrados, por ejemplo, para acceso remoto, acceso de administrador o reglas de usuario.

4. Limpiar objetos inactivos

Cuando está claro qué usuarios o grupos ya no se necesitan, se puede planificar la limpieza.

Proceso recomendado:

  1. Documentar usuarios, grupos y políticas afectadas.
  2. Identificar usuarios de prueba locales antiguos y grupos que ya no se necesitan.
  3. Antes de eliminar, verificar si los objetos se utilizan en reglas de firewall, políticas VPN o accesos al portal.
  4. Realizar una limpieza pequeña, no eliminar cientos de objetos sin control.
  5. Probar nuevamente con un usuario afectado en el VPN Portal.
  6. Documentar el resultado.

Si los usuarios de directorios externos se generan nuevamente en el próximo inicio de sesión, debe ajustarse la fuente. De lo contrario, el firewall solo se limpiará temporalmente.

Verificar descargas del portal VPN por separado

El límite de ID de usuario es solo una posible causa. Para problemas de descarga de .ovpn, también deben verificarse los puntos normales de acceso remoto:

  • El usuario tiene permiso para usar SSL VPN.
  • El usuario es miembro del grupo correcto.
  • El VPN Portal es accesible a través de Administration > Device access.
  • MFA u OTP funcionan.
  • El certificado del portal es confiable.
  • La configuración SSL-VPN está actualizada.
  • El navegador no bloquea la descarga.
  • El usuario descarga el archivo actual, no una copia antigua.

Para contextualizar User Portal, VPN Portal y otros accesos de Sophos, consulte Portales de Sophos: SophosID, Central, Support y accesos de Firewall. Para fortalecer los accesos al portal, consulte Device Access y Local Service ACL en Sophos Firewall.

Si está involucrado Entra ID SSO

Con Microsoft Entra ID SSO, no debe mezclarse el tema de User ID con errores de Conditional Access, OAuth o Redirect URI. Si el inicio de sesión, el redireccionamiento y MFA ya fallan, el problema probablemente se encuentra antes de la descarga real del VPN.

Una delimitación clara ahorra mucho tiempo:

ObservaciónVerificar primero
El inicio de sesión, redireccionamiento o MFA fallanAplicación Entra, Redirect URI, Client Secret, Conditional Access, certificado, hora y oauth_sso_vpn.log
El inicio de sesión funciona, pero el usuario no puede usar Remote Accessgrupo Entra importado, Allowed users and groups, política SSL-VPN o permiso de acceso remoto IPsec
El inicio de sesión funciona, pero solo ciertas funciones del portal o descargas fallancomparar objeto de usuario interno, User ID, permiso del portal y ruta del navegador
El túnel se conecta, pero los destinos internos no son accesiblesverificar regla de firewall, enrutamiento, DNS, NAT y pool VPN

Solo cuando el inicio de sesión funciona en general, pero ciertas funciones del portal o descargas fallan, vale la pena mirar los objetos de usuario internos y las User IDs. La configuración específica de Entra se describe en Configurar Microsoft Entra ID SSO para Sophos Connect y VPN Portal.

Prácticamente, debe compararse un usuario afectado con uno que funciona: mismo grupo Entra, misma política de acceso remoto, mismo inicio de sesión en el portal, misma ruta de cliente y mismo permiso en el firewall. Si el UPN, la dirección de correo electrónico o el mapeo de grupos no coinciden, primero se debe limpiar la pista de Entra SSO. Si estos puntos coinciden y solo falla la descarga de .ovpn o una acción del portal, el tema de User ID interno se vuelve más plausible.

También es importante la limpieza: los usuarios de Entra o los grupos importados no deben eliminarse a ciegas si aún están permitidos para Remote Access. De lo contrario, se generarán nuevamente en el próximo inicio de sesión del portal o en la próxima importación de grupos. Es mejor primero delimitar claramente los grupos permitidos y luego eliminar solo los objetos de firewall que realmente ya no se necesitan. Para temas de perfil y aprovisionamiento, consulte adicionalmente Configurar Sophos Connect en Sophos Firewall.

Recomendaciones operativas

Para entornos más grandes, la higiene de usuarios debe ser parte de la operación del firewall:

  • Solo traer a la firewall los grupos AD/LDAP/Entra necesarios.
  • Eliminar regularmente usuarios locales antiguos.
  • Eliminar cuentas de prueba después de proyectos.
  • Revisar regularmente las membresías de grupos para Remote Access.
  • Documentar qué grupos se utilizan productivamente para VPN, reglas de firewall y portales.
  • Después de reestructuraciones de directorios, planificar una breve prueba de autenticación y portal VPN.

El objetivo no es usar el firewall como un sistema completo de gestión de identidades. El firewall solo debe conocer las identidades que realmente necesita para políticas, portales, VPN e informes.

Lista de verificación de resolución de problemas

SíntomaDirección probable
Solo un usuario no puede descargar .ovpnVerificar permiso, MFA, objeto de usuario o User ID
Ningún usuario puede descargar nadaVerificar VPN Portal, certificado, Device Access o configuración SSL-VPN
El inicio de sesión en el VPN Portal falla antesVerificar servidor de autenticación, contraseña, MFA, grupos o acceso al portal
El inicio de sesión funciona, pero la descarga noVerificar objeto de usuario, navegador, derechos del portal y límite de User ID
El usuario no aparece en Authentication > UsersEl usuario puede no haberse registrado nunca en un servicio del firewall
Muchos usuarios antiguos visiblesPlanificar limpieza y limitar importación de grupos

FAQ

¿Cuál es el límite de ID de usuario de Sophos Firewall?

Sophos Firewall utiliza un límite de 65,535 User IDs, que comparten usuarios y grupos. Los usuarios con IDs más altas pueden experimentar problemas funcionales.

¿Puede el límite impedir la descarga de OVPN en el portal VPN?

Sí. Está documentado explícitamente que los usuarios con una User ID asignada demasiado alta pueden tener problemas al descargar archivos de configuración .ovpn desde el portal VPN.

¿Es necesario eliminar inmediatamente todos los usuarios antiguos?

No. Primero debe verificarse qué usuarios y grupos todavía se utilizan en reglas, políticas VPN, portales o flujos de MFA. Luego se puede limpiar de manera selectiva.

¿Por qué los usuarios externos aparecen más tarde en el firewall?

Los usuarios de directorios externos no siempre son visibles como usuarios locales del firewall al conectar el servidor de directorio. A menudo aparecen solo cuando inician sesión en un servicio del firewall, como el User Portal o el VPN Portal.

¿Es este un problema de SSL-VPN?

No directamente. El patrón de error a menudo se muestra durante la descarga de SSL-VPN, pero la causa puede estar en la gestión interna de usuarios o en el diseño de autenticación.