Ir al contenido
Avanet

Configurar Sophos SSL VPN en Android

Sophos Firewall

Sophos Connect no admite directamente Android para IPsec o SSL VPN. Por lo tanto, si un smartphone o tablet Android debe conectarse mediante Sophos Firewall Remote Access, se necesita un cliente compatible con OpenVPN. En muchos entornos, OpenVPN Connect es el estándar más obvio, ya que Sophos Firewall proporciona una configuración .ovpn para clientes móviles.

El artículo describe el proceso práctico para Sophos SSL VPN en Android: instalar la aplicación, obtener la configuración .ovpn, importar el perfil, probar la conexión y delimitar errores comunes. Para la decisión básica entre Sophos Connect, SSL VPN, IPsec, clientes móviles y ZTNA, primero consulte Sophos Connect o SSL VPN: ¿Qué solución de acceso remoto es adecuada?.

Cuándo es útil SSL VPN en Android

SSL VPN en Android es útil cuando los usuarios móviles necesitan acceder ocasionalmente a sistemas internos y un perfil VPN clásico es suficiente.

Ejemplos típicos:

  • Acceso a aplicaciones web internas
  • Acceso administrativo a pocos sistemas a través de una tablet
  • Acceso a herramientas internas mediante aplicaciones definidas
  • Acceso temporal sin un cliente de notebook gestionado
  • Solución de transición cuando ZTNA o App-Proxy aún no están disponibles

Para acceso permanente a muchos sistemas internos, un dispositivo móvil a menudo no es la mejor plataforma de destino. En ese caso, se debe considerar si un cliente gestionado de Windows o macOS con Sophos Connect, un acceso ZTNA más estrecho u otro diseño de acceso remoto es más adecuado.

Comparación con otros clientes

Esta guía es para Sophos Firewall con SFOS y dispositivos Android. Dependiendo de la plataforma o situación inicial, puede ser más adecuado otro punto de partida:

SituaciónPunto de partida adecuado
Configurar SSL VPN en AndroidEste artículo
Configurar SSL VPN con Sophos Connect en WindowsConfigurar Sophos SSL VPN con Sophos Connect en Windows
Configurar SSL VPN con Sophos Connect en macOSConfigurar Sophos SSL VPN con Sophos Connect en macOS
Configurar SSL VPN en iPhone y iPadConfigurar Sophos SSL VPN en iPhone y iPad
Instalar Sophos Connect en WindowsInstalar Sophos Connect Client en Windows
Instalar Sophos Connect en macOSInstalar Sophos Connect Client en macOS

Es importante la distinción: Sophos Connect no es el cliente SSL-VPN directo para Android. Si se deben admitir dispositivos móviles, debe estar claramente definido internamente qué cliente compatible con OpenVPN se utilizará, de dónde provienen los perfiles y quién brinda soporte en caso de cambios de dispositivo.

Requisitos previos

Antes de la configuración, se deben aclarar los siguientes puntos:

  • Sophos Firewall con configuración de acceso remoto SSL-VPN configurada
  • Usuario con permiso para SSL VPN
  • Acceso al portal VPN o archivo .ovpn proporcionado administrativamente
  • Cliente compatible con OpenVPN en Android
  • MFA/OTP configurado, si el acceso remoto está protegido con ello
  • Certificado válido para el portal VPN y acceso al firewall, si es posible
  • Reglas de firewall para el tráfico desde la zona VPN
  • Diseño de túnel dividido o túnel completo aclarado
  • Proceso de soporte para cambios de dispositivo, dispositivos perdidos y perfiles antiguos

Antes de una actualización a SFOS 22.0 MR1 o posterior, también se debe verificar si aún existen configuraciones antiguas de acceso remoto IPsec. SSL VPN no se ve directamente afectado, pero muchos entornos reevaluarán el acceso remoto en ese momento. El procedimiento se describe en Migrar acceso remoto IPsec heredado antes de SFOS 22 MR1.

Preparar el firewall y el portal VPN

La configuración en Android es solo el último paso. Antes, la configuración del firewall debe ser correcta.

En Sophos Firewall, se deben verificar los siguientes puntos:

  1. Abrir Remote access VPN.
  2. Configurar SSL VPN para los usuarios o grupos necesarios.
  3. Usar un pool de IP VPN sin superposición con LAN, WLAN, VLANs, VPNs de sitio a sitio o redes domésticas típicas.
  4. Configurar servidores DNS y sufijos de dominio adecuadamente si se utilizan nombres internos.
  5. Activar MFA para acceso remoto y probar con un usuario de prueba.
  6. Crear una regla de firewall de VPN a la zona de destino necesaria.
  7. Activar el registro para la fase de introducción.
  8. Liberar el portal VPN a través de Administration > Device access solo lo necesario.

El procedimiento completo del lado del firewall se describe en Configurar acceso remoto SSL VPN en Sophos Firewall.

El portal VPN es un punto de entrada accesible públicamente. Si debe ser accesible desde Internet, se deben planificar conscientemente el certificado, MFA, limitación de país/origen y revisión de registros. Para el endurecimiento, consulte Device Access y Local Service ACL en Sophos Firewall.

1. Instalar OpenVPN Connect

Instalar OpenVPN Connect desde Google Play: OpenVPN Connect.

Si en el entorno se ha estandarizado otro cliente compatible con OpenVPN, esta decisión debe estar documentada. Se vuelve problemático si los usuarios utilizan diferentes aplicaciones VPN, perfiles antiguos e instrucciones diferentes en paralelo.

Para soporte y operación, se debe establecer:

  • qué cliente se admite
  • qué versión de la aplicación se espera como mínimo
  • si los usuarios pueden instalar la aplicación por sí mismos
  • cómo se distribuyen y retiran los perfiles
  • cómo se manejan los dispositivos perdidos o reemplazados

2. Abrir el portal VPN

En el dispositivo Android, abrir el portal VPN de Sophos Firewall en el navegador e iniciar sesión con el usuario VPN. En la mayoría de los entornos, el navegador Android normal o Chrome es suficiente. Es importante que el archivo .ovpn descargado se pueda pasar a OpenVPN Connect.

Si el portal VPN se abre con un certificado no válido o no confiable, se debe solucionar la causa. Una excepción permanente del navegador no es un buen estándar operativo para el acceso remoto productivo.

Con MFA, se debe probar el procedimiento con un usuario de prueba real. Es especialmente importante si el segundo factor se solicita en un campo separado o si se deben ingresar la contraseña y el código OTP en la forma esperada. Los fundamentos se describen en Activar MFA para Sophos Firewall WebAdmin, portal VPN y acceso remoto.

3. Descargar configuración OVPN

En el portal VPN, cambiar a la sección SSL VPN o VPN y descargar la configuración para Android/iOS. Dependiendo de la versión de SFOS y la vista del portal, el enlace se llama algo así como Download configuration for Android/iOS.

El archivo descargado normalmente tiene la extensión .ovpn. Este archivo es específico del usuario y no debe compartirse con otros usuarios.

Importante:

  • El archivo debe provenir de la configuración actual del firewall.
  • No se deben reutilizar archivos antiguos de archivos de correo electrónico, historiales de chat o carpetas de descargas.
  • Después de cambios en la política SSL-VPN, certificado, gateway, DNS o grupo de usuarios, se debe volver a cargar el perfil.
  • Si un usuario deja la empresa o se pierde un dispositivo, se deben revisar el acceso del usuario, la membresía del grupo y la distribución del perfil.

4. Importar perfil en OpenVPN Connect

Si Android no ofrece automáticamente la importación, el archivo .ovpn se puede abrir en OpenVPN Connect mediante la función de compartir o mediante la importación de archivos. OpenVPN Connect mostrará el nuevo perfil y solicitará permiso para establecer una conexión VPN al configurarlo por primera vez.

Esta confirmación de Android es necesaria para que la aplicación pueda crear una conexión VPN. Si se rechaza la confirmación, el perfil puede aparecer en la aplicación, pero la conexión no se puede establecer correctamente.

Con varios perfiles, el nombre debe ser claro, por ejemplo, con ubicación, entorno o nombre de la empresa. Varios perfiles con nombres casi idénticos son una causa común de soporte.

5. Establecer conexión VPN

Activar el perfil importado e iniciar sesión con el usuario VPN. Si MFA u OTP están activos, se debe confirmar el segundo factor según la configuración del firewall.

Después de una conexión exitosa, no solo la aplicación OpenVPN debe mostrar que está conectada. Lo crucial es si los objetivos internos planificados son accesibles y si el tráfico en el firewall coincide con la regla correcta.

Verificar después de la configuración

Al menos estos puntos deben verificarse con un usuario de prueba:

  • OpenVPN Connect muestra la conexión como conectada.
  • Android muestra el estado VPN en la barra de estado o en la configuración de red.
  • El usuario recibe una dirección IP del pool SSL-VPN esperado.
  • Los nombres DNS internos se resuelven correctamente.
  • Los servidores, aplicaciones web o servicios necesarios son accesibles.
  • El comportamiento de Internet corresponde al diseño: túnel dividido o túnel completo.
  • En el Log Viewer, la regla de firewall esperada para el tráfico desde la zona VPN es visible.
  • MFA se solicita según lo planeado.
  • Probar la conexión nuevamente después del modo avión, cambio de WLAN o cambio de red móvil.
  • Los perfiles antiguos se han eliminado o marcado claramente como obsoletos.

Si la conexión está establecida pero no funciona el acceso, la causa a menudo no está en el cliente móvil, sino en las reglas de firewall, DNS, enrutamiento o NAT. Para el análisis, consulte Probar regla de firewall con Log Viewer, Policy Test y Packet Capture.

¿Distribución manual o MDM?

Con pocos dispositivos Android, la importación manual a través del portal VPN, la carpeta de descargas y OpenVPN Connect puede ser suficiente. Una vez que se involucran varios usuarios, smartphones gestionados o cambios regulares de dispositivos, la distribución del perfil debe planificarse conscientemente. De lo contrario, los archivos .ovpn antiguos permanecen en descargas, chats, correos electrónicos o almacenamientos en la nube privados y se reutilizan más tarde en casos de soporte.

VarianteÚtil cuandoA qué prestar atención
Importación manualpocos dispositivos, grupo piloto, uso ocasionalinstrucciones claras, perfil actualizado, prueba de MFA y eliminación de perfiles antiguos
Distribución a través de MDM o gestión de endpointsdispositivos Android gestionados, muchos usuarios, cambios recurrentesimplementación de la aplicación, versión del perfil, pérdida de dispositivos, retirada de perfiles antiguos y proceso de soporte

Es importante la retirada. Si se reemplaza un dispositivo Android, un usuario se retira o se cambia una política SSL-VPN, no basta con proporcionar un nuevo perfil. También se deben revisar los perfiles antiguos, las membresías de grupo, las credenciales almacenadas y las copias de archivos que puedan existir.

Operación y seguridad

Los perfiles VPN móviles necesitan reglas operativas claras. Los dispositivos Android cambian frecuentemente entre WLAN, redes móviles, hotspots y portales cautivos. Además, los dispositivos móviles se pierden más fácilmente o se reemplazan más rápido que los notebooks corporativos clásicos.

Buenas prácticas:

  • Actualizar regularmente OpenVPN Connect.
  • Activar y probar MFA para acceso remoto.
  • Revisar regularmente los grupos VPN.
  • Limitar el portal VPN a través de Device Access y Local Service ACL tanto como sea posible.
  • Mantener las reglas de firewall para la zona VPN ajustadas y registradas.
  • Eliminar archivos .ovpn antiguos y perfiles obsoletos.
  • Considerar cambios de dispositivo y dispositivos perdidos en el proceso de soporte.
  • Planificar Syslog o evaluación central para retención prolongada de registros.

Para archivos de registro y registros de servicio, Solución de problemas de Sophos Firewall: Servicios y registros es útil.

Errores comunes

No se puede abrir el archivo OVPN

Primero, verificar si OpenVPN Connect está instalado y si el archivo realmente está en formato .ovpn. Luego, descargar nuevamente el archivo desde el portal VPN o pasarlo a OpenVPN Connect mediante la función de compartir.

Si el archivo se distribuye a través de MDM, correo electrónico o compartición de archivos, se debe verificar si el archivo fue modificado, renombrado o bloqueado en el camino.

La importación funciona, pero la conexión no

A menudo, la autorización de Android para la configuración VPN no se ha otorgado correctamente o el perfil no coincide con la configuración actual del firewall. Eliminar el perfil, obtener nuevamente el archivo .ovpn actual e importarlo nuevamente.

Error de inicio de sesión

Verificar usuario, contraseña, MFA, membresía de grupo y servidor de autenticación. Si se involucra AD, RADIUS o Microsoft Entra ID SSO, la autenticación debe probarse por separado del VPN. Un problema de inicio de sesión no es automáticamente un problema de OpenVPN.

La conexión está establecida, pero los sistemas internos no son accesibles

Verificar DNS, reglas de firewall, enrutamiento, NAT y ruta de retorno. En el Log Viewer, el tráfico desde la zona VPN debe ser visible. Si no aparecen registros, es probable que el tráfico no alcance la regla esperada o que el registro esté desactivado.

En sistemas internos individuales, a menudo no es el VPN el que está defectuoso, sino una regla de firewall faltante, un nombre DNS incorrecto o una ruta de retorno en la red de destino.

Si funcionan pequeños accesos, pero las transferencias de archivos grandes o ciertas aplicaciones se cuelgan, también se debe verificar MTU/MSS: Verificar MTU y MSS de Sophos Firewall en problemas de VPN.

Los nombres internos no se resuelven

Verificar servidores DNS y dominio de búsqueda en la configuración SSL-VPN. Luego, probar si los sistemas internos son accesibles por dirección IP. Si la IP funciona pero el nombre no, la causa probablemente esté en DNS, no en la conexión VPN en sí.

La conexión se interrumpe al cambiar de red

En dispositivos móviles, los cambios de WLAN, cambios de red móvil, portales cautivos y mecanismos de ahorro de energía son causas típicas. Probar con una segunda red y verificar si el comportamiento es reproducible.

Si los usuarios cambian frecuentemente entre redes, se debe verificar si la aplicación puede manejar interrupciones breves de VPN o si otro modelo de acceso es más adecuado.

Lista de verificación

Antes del despliegue

  • Cliente OpenVPN compatible definido.
  • Grupo de usuarios SSL-VPN verificado.
  • MFA para acceso remoto probado.
  • Portal VPN accesible con certificado válido.
  • Device Access y acceso desde Internet limitados conscientemente.
  • Reglas de firewall para la zona VPN creadas y registradas.
  • Túnel dividido o túnel completo documentado.
  • Distribución de perfiles y proceso de cambio de dispositivo aclarados.

Después de la importación

  • Perfil visible en OpenVPN Connect.
  • Permiso VPN de Android confirmado.
  • Conexión establecida con usuario de prueba.
  • DNS, objetivos internos y coincidencia de reglas de firewall verificados.
  • WLAN, red móvil y cambio de red probados.
  • Perfiles antiguos eliminados.

En operación

  • Mantener actualizada la aplicación OpenVPN y Android.
  • Revisar regularmente los grupos de usuarios.
  • Eliminar perfiles antiguos al salir o perder dispositivos.
  • Revisar registros VPN en casos de soporte temprano.
  • En problemas móviles recurrentes, considerar ZTNA o acceso basado en aplicaciones.

FAQ

¿Sophos Connect admite SSL VPN en Android?

No. Sophos Connect no admite directamente Android para IPsec y SSL VPN. En Android se utiliza un cliente compatible con OpenVPN.

¿Es necesario usar OpenVPN Connect?

No necesariamente. Sin embargo, OpenVPN Connect es un estándar común para perfiles OpenVPN en Android. Si se utiliza otro cliente, debe estar claramente documentado y respaldado internamente.

¿Funciona MFA con SSL VPN en Android?

Sí, si MFA está configurado correctamente en Sophos Firewall para acceso remoto. Dependiendo de la configuración, el segundo factor se procesa al iniciar sesión o mediante la entrada de contraseña.

¿Es mejor SSL VPN en Android que IPsec?

No de manera general. SSL VPN es a menudo práctico si los perfiles OpenVPN ya están establecidos. Para algunos entornos, otro diseño de acceso remoto con IPsec, ZTNA o acceso basado en aplicaciones puede ser más adecuado.

¿Por qué la conexión funciona pero no ninguna aplicación interna?

Entonces, el túnel es solo una parte de la verificación. A menudo faltan reglas de firewall, resolución DNS, enrutamiento o rutas de retorno. En el Log Viewer, se debe verificar si el tráfico desde la zona VPN coincide con la regla esperada.