Aller au contenu
Avanet

Sophos Connect ou SSL VPN : quelle solution d'accès à distance est la bonne ?

Sophos Firewall propose plusieurs chemins d’accès à distance. Dans les environnements plus anciens, vous trouverez souvent encore le client VPN SSL classique ou les anciens profils IPsec. Dans les versions actuelles de SFOS, Sophos Connect est le client central pour de nombreux scénarios d’accès à distance, mais l’adaptation varie en fonction de la plateforme, du protocole et du modèle d’exploitation.

Ce guide de décision indique quand Sophos Connect avec IPsec, Sophos Connect avec SSL VPN, un client compatible OpenVPN ou ZTNA est judicieux. Pour les environnements avec SFOS 22.0 MR1, c’est également important : Legacy Remote Access IPsec ne doit plus être laissé en héritage. La migration est décrite dans l’article Migrer l’ancien accès à distance IPsec avant SFOS 22 MR1.

Quel article VPN correspond ?

L’accès à distance et le VPN site à site sont configurés à différents endroits dans Sophos Firewall. La première chose qui est importante pour les administrateurs est de savoir si cela concerne l’accès des utilisateurs, la mise en réseau du site, le fonctionnement des clients, l’identité ou le dépannage.

Aide à la décision courte

  • Clients Windows avec distribution centrale: Sophos Connect avec IPsec ou SSL VPN.
  • Clients macOS de Sophos Connect 2.0: Sophos Connect avec IPsec ou SSL VPN, selon la configuration du pare-feu.
  • Windows BRAS: Sophos Connect à partir de la version 2.5.
  • iOS, iPadOS, Android ou autres plateformes mobiles: Ressources intégrées au client ou au système d’exploitation compatible OpenVPN, selon le protocole.
  • Réseaux étrangers avec IPsec bloqué: Vérifiez SSL VPN ou ZTNA.
  • Accès uniquement aux applications individuelles: Vérifiez ZTNA ou l’accès sans client.
  • Ancien accès à distance IPsec avant SFOS 22 MR1: Migrer et supprimer. Le tableau est volontairement simplifié. En pratique, ce n’est pas seulement le client qui décide, mais aussi le modèle d’authentification, la MFA, l’environnement réseau des utilisateurs, les cibles internes requises et la manière dont les profils sont distribués et mis à jour.

Limites de la plateforme et du profil

Avant de prendre une décision, vous ne devez pas simplement demander « VPN IPsec ou SSL ». Il est tout aussi important de savoir si la plate-forme souhaitée prend en charge le type de profil approprié et la distribution souhaitée.

  • Windows 10/11 64 bits: Sophos Connect IPsec: oui; VPN SSL Sophos Connect: oui; Fichier de provisionnement: oui.
  • Windows BRAS: Sophos Connect IPsec: de Sophos Connect 2.5; VPN SSL Sophos Connect: de Sophos Connect 2.5; Fichier de provisionnement: de Sophos Connect 2.5.
  • macOS Intel: Sophos Connect IPsec: oui; VPN SSL Sophos Connect: de Sophos Connect 2.0; Fichier de provisionnement: non.
  • macOS Apple Silicium: Sophos Connect IPsec: oui, via Rosette 2; VPN SSL Sophos Connect: depuis Sophos Connect 2.0, via Rosetta 2; Fichier de provisionnement: non.
  • iOS, iPadOS, Android: Sophos Connect IPsec: pas avec Sophos Connect; VPN SSL Sophos Connect: pas avec Sophos Connect; Fichier de provisionnement: pas avec Sophos Connect.
  • Anciens clients Windows 32 bits : seules les anciennes versions de Sophos Connect jusqu’à 2.4 prennent encore en charge Windows 32 bits. Les déploiements actuels doivent être planifiés avec Windows 64 bits.

Pour macOS, cela signifie pratiquement : Sophos Connect peut désormais utiliser SSL VPN, mais pas avec la même logique de provisionnement que Windows. Les profils doivent être délibérément importés et réapprovisionnés après les modifications pertinentes. Pour les plateformes mobiles, Sophos Connect ne reste pas le client direct ; Selon le protocole, des applications ou des fonctions du système d’exploitation compatibles OpenVPN sont requises.

Sophos Connect avec IPsec

Sophos Connect avec IPsec est souvent le premier choix lorsque des VPN clients classiques sont nécessaires pour les appareils Windows ou macOS. IPsec est généralement performant et convient parfaitement aux entreprises clientes gérées où les profils peuvent être distribués de manière contrôlée.

Avantages :

  • bonnes performances dans de nombreux environnements
  • adapté aux clients Windows et macOS gérés
  • Règles de pare-feu centrales possibles via la zone VPN
  • séparation claire de l’accès à distance et du VPN site à site
  • utile si Sophos Connect est de toute façon utilisé comme client standard

Limites :

  • IPsec peut être bloqué dans les hôtels, les réseaux invités, les réseaux mobiles ou les réseaux tiers strictement filtrés.
  • Les profils et les affectations d’utilisateurs doivent être correctement gérés.
  • Après des modifications apportées aux pools, DNS ou réseaux cibles, les clients doivent être retestés.
  • L’ancien IPsec d’accès à distance ne doit pas être confondu avec la configuration actuelle d’IPsec d’accès à distance.

Pour le paramétrer sur le pare-feu, Configurer le client Sophos Connect sur le pair-feu Sophos est l’article de connexion approprié.

Sophos Connect avec SSL VPN

Sophos Connect peut également utiliser des connexions VPN SSL. Cela est pertinent sous Windows depuis longtemps et depuis Sophos Connect 2.0, Sophos prend également en charge SSL VPN sur macOS. Ceci est particulièrement important car les anciennes instructions Avanet et Sophos Connect remontent en partie à une époque où macOS avec Sophos Connect ne pouvait faire qu’IPsec.

Avantages :

  • souvent mieux utilisable dans les réseaux tiers restrictifs que IPsec
  • Windows et macOS sont pris en charge avec les versions actuelles de Sophos Connect
  • La technologie OpenVPN est facile à comprendre en fonctionnement
  • cela a du sens si les processus VPN SSL existants sont déjà établis

Limites :

  • Les performances et l’évolutivité dépendent davantage de l’appliance, du protocole, du chiffrement et de la charge.
  • Les profils d’utilisateurs et les certificats doivent être gérés correctement.
  • Les anciens clients VPN SSL et les anciennes versions d’OpenVPN ne doivent pas être utilisés sans vérification.
  • Les appareils mobiles utilisent encore généralement d’autres clients compatibles OpenVPN.

La configuration côté pare-feu se trouve dans Configurer l’accès à distance VPN SSL de Sophos Firewall. Pour Windows, il existe le guide étape par étape Configurer Sophos SSL VPN avec Sophos Connect sous Windows. Pour macOS, vous devez vérifier la version actuelle de Sophos Connect pour les nouvelles installations car la prise en charge de la plate-forme a changé en 2026. L’article d’exploitation approprié pour cela est Vérifiez et mettez à jour en toute sécurité la version de Sophos Connect Client.

Clients OpenVPN et plateformes mobiles

Sophos Connect ne prend pas directement en charge toutes les plateformes. Les plateformes mobiles telles qu’iOS et Android ne sont pas directement couvertes par Sophos Connect pour IPsec et SSL VPN. Dans de tels cas, selon le protocole, les ressources intégrées du système d’exploitation ou les clients compatibles OpenVPN sont utilisés.

Ce n’est pas un inconvénient si le processus est clairement documenté. Cela ne devient problématique que lorsque les utilisateurs utilisent des applications différentes, d’anciens profils et des instructions peu claires. Les éléments suivants doivent donc être clairement définis pour les appareils mobiles :

  • quel protocole est utilisé
  • quelle application est prise en charge
  • d’où vient le fichier de configuration
  • comment fonctionnent l’AMF ou les certificats
  • qui prend en charge les changements d’appareil

Des instructions spécifiques sont disponibles pour VPN SSL Sophos avec Sophos Connect sur Windows, VPN SSL Sophos avec Sophos Connect sur macOS, VPN SSL Sophos sur iPhone et iPad et VPN SSL Sophos sur Android.

Distribution et mises à jour du profil

Les problèmes d’accès à distance proviennent souvent non pas du type de tunnel sélectionné, mais d’anciens profils. Si la passerelle, le certificat, le DNS, le groupe d’utilisateurs, le pool IP, le portail ou le fichier d’approvisionnement sont modifiés, vous devez nettoyer activement l’inventaire des profils. Règles pratiques :

  • Suivez les versions de Sophos Connect de manière centralisée.
  • Ne pas distribuer les fichiers .scx, .tgb, .ovpn et .pro en parallèle de manière incontrôlée.
  • Distinguer clairement les types de fichiers : .scx correspond généralement aux profils IPsec Sophos Connect, .tgb aux profils IPsec pour certains clients tiers ou mobiles, .ovpn aux configurations SSL VPN et .pro au provisioning Windows.
  • Gardez les noms de profil uniques, en particulier pour plusieurs emplacements.
  • Planifiez une nouvelle importation après les modifications apportées au VPN SSL ou IPsec.
  • Pour SSL VPN, vérifier si les utilisateurs peuvent utiliser Update policy dans Sophos Connect Client ou si le fichier .ovpn doit être réimporté.
  • Pour les fichiers de provisioning, comprendre que .pro sert surtout à récupérer automatiquement des configurations. Les passerelles SSL VPN réelles proviennent de la configuration SSL VPN importée et peuvent différer de l’adresse du portail.
  • Testez les clients Windows, macOS et mobiles séparément.
  • Supprimez les anciens profils lorsque vous quittez, changez d’appareil ou migrez.

Une réimportation n’est pas seulement utile après des changements sur le pare-feu. Les mises à jour du client peuvent aussi modifier le comportement, par exemple lorsque des identifiants enregistrés, des options de profil ou de nouvelles fonctions du client ne fonctionnent correctement qu’après une nouvelle importation de la configuration. Il faut donc tester Update policy, la réimportation et la communication au helpdesk avant les grands déploiements.

Le processus opérationnel des mises à jour du client est dans Vérifiez et mettez à jour en toute sécurité la version de Sophos Connect Client.

Quand ZTNA est mieux adapté

Tous les cas d’accès à distance n’ont pas besoin d’un VPN classique. Lorsque les utilisateurs ont uniquement besoin d’accéder à des applications Web individuelles ou à des services internes définis, ZTNA constitue souvent l’architecture la plus propre. Le client ne bénéficie alors pas d’un accès réseau global, mais uniquement d’un accès aux applications dont il a besoin.

ZTNA est particulièrement adapté si :

  • aucune accessibilité complète au réseau n’est requise
  • les utilisateurs externes n’utilisent que des applications individuelles
  • L’accès devrait être plus étroitement lié à l’identité, à l’appareil et à la politique
  • Les règles VPN se sont développées historiquement et sont devenues trop larges

ZTNA ne remplace pas tous les VPN. Un VPN classique peut toujours être nécessaire pour l’accès administrateur, de nombreux protocoles, des logiciels spéciaux ou des chemins réseau complexes. Connecteur de passerelle Sophos ZTNA sert d’introduction.

Sécurité et opérations

Quel que soit le client choisi, les problématiques opérationnelles restent similaires. L’accès à distance est un point d’entrée accessible au public dans le réseau et doit non seulement fonctionner techniquement, mais également être exploité de manière propre.

Points importants :

  • Activez et testez MFA pour l’accès à distance.
  • Avec Sophos Connect, vérifier si la méthode MFA convient au client. Les méthodes OTP challenge-based ne fonctionnent pas comme User Portal ou WebAdmin ; Sophos Connect utilise un format mot de passe plus OTP ou des flux par appel/push.
  • Vérifiez régulièrement les groupes d’utilisateurs.
  • Libérez uniquement les réseaux et services cibles requis.
  • Nommez et enregistrez clairement les règles de pare-feu pour la zone VPN.
  • Supprimez les profils VPN lorsque vous quittez ou changez d’appareil.
  • Nettoyer les anciennes configurations héritées avant SFOS 22.0 MR1.
  • Utilisez la visionneuse de journaux et les journaux centraux pour les erreurs de connexion et de connexion.

Configurateur Sophos Firewall MFA convient à MFA. Si les connexions sont établies mais qu’aucun trafic ne circule, Dépannage du VPN IPsec du pare-feu Sophos et Testez les règles de pare-feu avec Log Viewer, Policy Test et Packet Capture vous aident.

Si le portail VPN, le portail utilisateur ou le VPN SSL sont accessibles depuis Internet, vous devez également cocher Accès aux appareils et ACL de service local. L’accès à distance n’est pas seulement un problème de client, mais également un service de pare-feu accessible au public.

FAQ

Sophos Connect est-il le successeur de l'ancien client VPN SSL ?

Pour de nombreux scénarios Windows et macOS, Sophos Connect est désormais le client Sophos central. Néanmoins, les clients compatibles OpenVPN peuvent toujours être utiles, notamment sur les plateformes mobiles ou dans des cas particuliers.

Sophos Connect prend-il en charge SSL VPN sur macOS ?

Oui. Depuis Sophos Connect 2.0, le client Sophos Connect sur macOS peut également utiliser le VPN SSL d’accès à distance. Pour ce faire, la version du client, la version du pare-feu et la configuration doivent correspondre.

IPsec est-il plus rapide que le VPN SSL ?

Souvent oui, mais pas partout. IPsec est souvent plus performant, tandis que SSL VPN fonctionne mieux sur les réseaux tiers restrictifs. Les facteurs décisifs sont l’appliance, le client, le chemin réseau, le cryptage et le modèle d’accès spécifique.

Qu'en est-il de Windows ARM ?

Sophos Connect prend en charge Windows ARM à partir de la version 2.5. Pour les anciennes versions client ou les anciens progiciels internes, vous devez donc vérifier quelle version est réellement distribuée.

Quand ZTNA est-il meilleur que le VPN classique ?

ZTNA est souvent meilleur lorsque les utilisateurs n’ont besoin que d’applications individuelles et qu’un accès réseau étendu n’est pas requis. Le VPN classique reste utile pour de nombreux protocoles, accès administrateur, logiciels spéciaux ou chemins réseau complexes.

Que faut-il vérifier avant SFOS 22.0 MR1 ?

Avant SFOS 22.0 MR1, il faut vérifier si Legacy Remote Access IPsec existe toujours. Cette ancienne configuration bloque la mise à niveau et doit être migrée ou supprimée au préalable.