Aller au contenu
Avanet

Configurer Sophos SSL VPN sur iPhone et iPad

Sophos Connect ne prend pas directement en charge iOS et iPadOS pour IPsec ou SSL VPN. Si un iPhone ou un iPad doit être connecté à Sophos Firewall Remote Access, on utilise donc un client compatible OpenVPN. Dans de nombreux environnements, OpenVPN Connect est le standard le plus évident.

Cet article décrit le déroulement pratique pour Sophos SSL VPN sur iPhone et iPad : installer l’app, obtenir la configuration .ovpn, importer le profil, tester la connexion et cerner les erreurs typiques. Pour choisir d’abord entre Sophos Connect, SSL VPN, IPsec, les clients mobiles et ZTNA, consultez Sophos Connect ou SSL VPN : quelle solution de Remote Access choisir ?.

Quand SSL VPN sur iOS est utile

SSL VPN sur iPhone ou iPad est utile lorsque des utilisateurs mobiles doivent accéder occasionnellement à des systèmes internes et qu’un profil VPN classique suffit pour cela.

Exemples typiques :

  • accès à des applications web internes
  • accès administrateur à quelques systèmes depuis un iPad
  • accès à des services de fichiers ou à des outils internes via des apps définies
  • travail externe temporaire sans client notebook géré
  • solution transitoire lorsque ZTNA ou un app proxy n’est pas encore disponible

Pour un accès durable à de nombreux systèmes internes, un appareil mobile n’est souvent pas la meilleure plateforme cible. Il faut alors vérifier si un client Windows ou macOS géré avec Sophos Connect, un accès ZTNA plus restreint ou un autre design Remote Access convient mieux.

Positionnement par rapport aux autres clients

Cette procédure s’applique à Sophos Firewall avec SFOS et aux appareils Apple mobiles. Selon la plateforme ou la situation de départ, un autre point d’entrée peut être plus adapté :

La distinction est importante : Sophos Connect n’est pas le client SSL VPN direct pour iOS et iPadOS. Si des appareils mobiles doivent être pris en charge, il faut définir clairement en interne quel client compatible OpenVPN est utilisé, d’où viennent les profils et qui fournit le support lors des changements d’appareil.

Prérequis

Avant la configuration, ces points doivent être clarifiés :

  • Sophos Firewall avec une configuration SSL-VPN-Remote-Access déjà en place
  • utilisateur autorisé à utiliser SSL VPN
  • accès au VPN Portal ou à un fichier .ovpn fourni administrativement
  • client compatible OpenVPN sur iPhone ou iPad
  • MFA/OTP configuré si Remote Access est protégé ainsi
  • certificat valide pour le VPN Portal et l’accès au firewall, si possible
  • règles firewall pour le trafic provenant de la zone VPN
  • design Split Tunnel ou Full Tunnel clarifié
  • processus de support pour les changements d’appareil, les appareils perdus et les anciens profils

Avant une mise à niveau vers SFOS 22.0 MR1 ou plus récent, il faut aussi vérifier s’il existe encore d’anciennes configurations Remote-Access-IPsec. SSL VPN n’est pas directement concerné, mais de nombreux environnements réévaluent Remote Access à ce moment-là. La procédure est décrite dans Migrer Legacy Remote Access IPsec avant SFOS 22 MR1.

Préparer le firewall et le VPN Portal

La configuration iOS n’est que la dernière étape. Auparavant, la configuration du firewall doit être correcte.

Sur Sophos Firewall, ces points doivent être vérifiés :

  1. Ouvrir Remote access VPN.
  2. Configurer SSL VPN pour les utilisateurs ou groupes nécessaires.
  3. Utiliser un pool IP VPN sans chevauchement avec LAN, WLAN, VLANs, Site-to-Site-VPNs ou les réseaux domestiques typiques.
  4. Définir correctement les serveurs DNS et les suffixes de domaine si des noms internes sont utilisés.
  5. Activer MFA pour Remote Access et le tester avec un utilisateur de test.
  6. Créer une règle firewall de VPN vers la zone cible nécessaire.
  7. Activer la journalisation pendant la phase d’introduction.
  8. Limiter le VPN Portal via Administration > Device access aussi strictement que nécessaire.

La procédure complète côté firewall est décrite dans Configurer Sophos Firewall SSL VPN Remote Access.

Le VPN Portal est un point d’entrée accessible publiquement. S’il doit être joignable depuis Internet, le certificat, MFA, les restrictions par pays ou par source et le contrôle des logs doivent être planifiés consciemment. Pour le durcissement, consultez Device Access et Local Service ACL sur Sophos Firewall.

1. Installer OpenVPN Connect

Installer OpenVPN Connect depuis l’App Store : OpenVPN Connect.

Si un autre client compatible OpenVPN est standardisé dans l’environnement, cette décision doit être documentée. Les problèmes apparaissent lorsque les utilisateurs emploient en parallèle différentes apps VPN, d’anciens profils et des procédures divergentes.

Pour le support et l’exploitation, il faut définir :

  • quel client est pris en charge
  • quelle version minimale de l’app est attendue
  • si les utilisateurs peuvent installer l’app eux-mêmes
  • comment les profils sont distribués et retirés
  • comment les appareils perdus ou remplacés sont traités

2. Ouvrir le VPN Portal

Sur l’iPhone ou l’iPad, ouvrir le VPN Portal de Sophos Firewall dans le navigateur et se connecter avec l’utilisateur VPN. Safari est généralement la méthode la plus fiable pour télécharger le fichier .ovpn et le transmettre à OpenVPN Connect.

Si le VPN Portal est ouvert avec un certificat non valide ou non approuvé, la cause doit être corrigée. Une exception permanente dans le navigateur n’est pas un bon standard d’exploitation pour Remote Access en production.

Avec MFA, il faut tester le déroulement avec un véritable utilisateur de test. Il est particulièrement important de savoir si le second facteur est demandé dans un champ séparé ou si le mot de passe et le code OTP doivent être saisis sous la forme attendue. Les bases sont décrites dans Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et Remote Access.

3. Télécharger la configuration OVPN

Dans le VPN Portal, ouvrir la section SSL VPN ou VPN et télécharger la configuration pour Android/iOS. Selon la version SFOS et la vue du portail, le lien s’appelle généralement Download configuration for Android/iOS.

Le fichier téléchargé porte normalement l’extension .ovpn. Ce fichier est propre à l’utilisateur et ne doit pas être transmis à d’autres utilisateurs.

Important :

  • Le fichier doit provenir de la configuration actuelle du firewall.
  • Les anciens fichiers issus d’archives e-mail ou d’historiques de chat ne doivent pas être réutilisés.
  • Après des changements de SSL-VPN-Policy, de certificat, de gateway, de DNS ou de groupe d’utilisateurs, le profil doit être téléchargé à nouveau.
  • Lorsqu’un utilisateur quitte l’entreprise ou qu’un appareil est perdu, l’accès utilisateur, l’appartenance aux groupes et la distribution des profils doivent être contrôlés.

4. Importer le profil dans OpenVPN Connect

Si iOS ne propose pas automatiquement l’import, le fichier .ovpn peut être transmis à OpenVPN Connect via la fonction de partage. OpenVPN Connect affiche ensuite le nouveau profil et demande, lors de la première configuration, l’autorisation de créer une configuration VPN.

Cette confirmation iOS est nécessaire pour que l’app puisse créer une connexion VPN. Si la confirmation est refusée, le profil peut éventuellement apparaître dans l’app, mais la connexion ne peut pas être établie proprement.

Avec plusieurs profils, le nom doit être explicite, par exemple avec le site, l’environnement ou le nom de l’entreprise. Plusieurs profils presque identiques sont une cause fréquente de support.

5. Établir la connexion VPN

Activer le profil importé et se connecter avec l’utilisateur VPN. Si MFA ou OTP est actif, le second facteur doit être confirmé conformément à la configuration du firewall.

Après l’établissement de la connexion, il ne faut pas seulement vérifier que l’app OpenVPN affiche l’état connecté. Le point décisif est de savoir si les destinations internes prévues sont joignables et si le trafic atteint la bonne règle sur le firewall.

Contrôles après la configuration

Au minimum, ces points doivent être vérifiés avec un utilisateur de test :

  • OpenVPN Connect affiche la connexion comme connectée.
  • iOS affiche le symbole VPN ou le statut VPN.
  • L’utilisateur reçoit une adresse IP du pool SSL VPN attendu.
  • Les noms DNS internes sont résolus correctement.
  • Les serveurs, applications web ou services nécessaires sont joignables.
  • Le comportement Internet correspond au design : Split Tunnel ou Full Tunnel.
  • Dans le Log Viewer, la règle firewall attendue pour le trafic provenant de la zone VPN est visible.
  • MFA est demandé comme prévu.
  • La connexion est retestée après le mode avion, un changement de WLAN ou un changement de réseau mobile.
  • Les anciens profils ont été supprimés ou clairement marqués comme obsolètes.

Si la connexion est établie mais qu’aucun accès ne fonctionne, la cause se trouve souvent non pas dans le client mobile, mais dans les règles firewall, DNS, le routage ou NAT. Pour l’analyse, consultez Tester une règle firewall avec Log Viewer, Policy Test et Packet Capture.

Distribution manuelle ou MDM ?

Pour quelques iPhones ou iPads, l’import manuel via VPN Portal, Safari et OpenVPN Connect peut suffire. Dès que plusieurs utilisateurs, de nombreux appareils ou des changements d’appareil réguliers entrent en jeu, la distribution des profils doit être planifiée consciemment. Sinon, d’anciens fichiers .ovpn restent dans des e-mails, des chats ou des dossiers de téléchargement privés et réapparaissent des mois plus tard lors de cas de support.

  • Import manuel: peu d’appareils, groupe pilote, utilisation occasionnelle. procédure claire, profil actuel, test MFA et suppression des anciens profils.
  • Distribution via MDM ou Endpoint Management: appareils gérés, nombreux utilisateurs, changements récurrents. version du profil, installation de l’app, perte d’appareil, retrait des anciens profils et processus de support.

Le retrait est important. Lorsqu’un appareil est remplacé, qu’un utilisateur quitte l’entreprise ou qu’une SSL-VPN-Policy est modifiée, distribuer un nouveau profil ne suffit pas. Les anciens profils, les appartenances aux groupes et d’éventuels identifiants enregistrés doivent aussi être contrôlés.

Exploitation et sécurité

Les profils VPN mobiles nécessitent des règles d’exploitation claires. Les iPhones et iPads passent fréquemment entre WLAN, réseau mobile, hotspots et Captive Portals. De plus, les appareils mobiles se perdent plus facilement ou sont remplacés plus rapidement que les notebooks d’entreprise classiques.

Bonnes pratiques :

  • mettre régulièrement à jour OpenVPN Connect ;
  • activer et tester MFA pour Remote Access ;
  • contrôler régulièrement les groupes VPN ;
  • limiter autant que possible le VPN Portal via Device Access et Local Service ACL ;
  • garder les règles firewall pour la zone VPN strictes et journalisées ;
  • supprimer les anciens fichiers .ovpn et les profils obsolètes ;
  • tenir compte des changements d’appareil et des appareils perdus dans le processus de support ;
  • prévoir Syslog ou une analyse centralisée si la conservation des logs doit être longue.

Pour les fichiers journaux et les service logs, Sophos Firewall Troubleshooting : services et logs est utile.

Erreurs typiques

Le fichier OVPN ne s’ouvre pas

Vérifier d’abord si OpenVPN Connect est installé et si le fichier est bien disponible en .ovpn. Télécharger ensuite à nouveau le fichier depuis le VPN Portal ou le transmettre à OpenVPN Connect via la fonction de partage.

Si le fichier est distribué via MDM, e-mail ou partage de fichiers, il faut vérifier s’il a été modifié, renommé ou bloqué en chemin.

L’import fonctionne, mais pas la connexion

La cause est souvent que l’autorisation iOS pour la configuration VPN n’a pas été accordée correctement ou que le profil ne correspond pas à la configuration actuelle du firewall. Supprimer le profil, obtenir le fichier .ovpn actuel et l’importer à nouveau.

La connexion échoue

Vérifier l’utilisateur, le mot de passe, MFA, l’appartenance aux groupes et le serveur d’authentification. Si AD, RADIUS ou Microsoft Entra ID SSO intervient, l’authentification doit être testée séparément du VPN. Un problème de login n’est pas automatiquement un problème OpenVPN.

La connexion est établie, mais les systèmes internes ne sont pas joignables

Vérifier DNS, les règles firewall, le routage, NAT et le chemin de retour. Dans le Log Viewer, le trafic provenant de la zone VPN doit être visible. Si aucun log n’apparaît, le trafic n’atteint probablement pas la règle attendue ou la journalisation est désactivée.

Pour certains systèmes internes, ce n’est souvent pas le VPN lui-même qui est défectueux, mais une règle firewall manquante, un nom DNS incorrect ou une route de retour dans le réseau cible.

Si de petits accès fonctionnent, mais que des transferts de fichiers plus volumineux ou certaines applications restent bloqués, il faut aussi vérifier MTU/MSS : Vérifier MTU et MSS sur Sophos Firewall en cas de problèmes VPN.

Les noms internes ne sont pas résolus

Vérifier les serveurs DNS et le domaine de recherche dans la configuration SSL VPN. Tester ensuite si les systèmes internes sont joignables par adresse IP. Si l’IP fonctionne mais pas le nom, la cause est probablement DNS, pas la connexion VPN elle-même.

La connexion se coupe lors d’un changement de réseau

Sur les appareils mobiles, les changements de WLAN, de réseau mobile, les Captive Portals et les mécanismes d’économie d’énergie sont des causes typiques. Tester avec un deuxième réseau et vérifier si le comportement est reproductible.

Si les utilisateurs changent souvent de réseau, il faut vérifier si l’application supporte les courtes interruptions VPN ou si un autre modèle d’accès convient mieux.

Check-list

Avant le déploiement

  • Client OpenVPN pris en charge défini.
  • Groupe d’utilisateurs SSL VPN vérifié.
  • MFA pour Remote Access testé.
  • VPN Portal joignable avec un certificat valide.
  • Device Access et accès depuis Internet volontairement limités.
  • Règles firewall pour la zone VPN créées et journalisées.
  • Split Tunnel ou Full Tunnel documenté.
  • Distribution des profils et processus de changement d’appareil clarifiés.

Après l’import

  • Profil visible dans OpenVPN Connect.
  • Autorisation VPN iOS confirmée.
  • Connexion établie avec un utilisateur de test.
  • DNS, destinations internes et match de règle firewall vérifiés.
  • WLAN, réseau mobile et changements de réseau testés.
  • Anciens profils supprimés.

En exploitation

  • Maintenir l’app OpenVPN et iOS à jour.
  • Contrôler régulièrement les groupes d’utilisateurs.
  • Supprimer les anciens profils lors d’un départ ou d’une perte d’appareil.
  • Contrôler tôt les VPN logs lors des cas de support.
  • En cas de problèmes mobiles récurrents, vérifier ZTNA ou un accès basé sur l’application.

FAQ

Sophos Connect prend-il en charge SSL VPN sur iOS ?

Non. Sophos Connect ne prend pas directement en charge iOS et iPadOS pour IPsec et SSL VPN. Sur iPhone et iPad, on utilise un client compatible OpenVPN.

Faut-il utiliser OpenVPN Connect ?

Pas obligatoirement. OpenVPN Connect est toutefois un standard courant pour les profils OpenVPN sur iOS. Si un autre client est utilisé, il doit être clairement documenté et pris en charge en interne.

MFA fonctionne-t-il avec SSL VPN sur iOS ?

Oui, si MFA est correctement configuré sur Sophos Firewall pour Remote Access. Selon la configuration, le second facteur est traité lors du login ou via la saisie du mot de passe.

SSL VPN sur iOS est-il meilleur qu'IPsec ?

Pas de manière générale. SSL VPN est souvent pratique lorsque les profils OpenVPN sont déjà établis. Pour certains environnements, un autre design Remote Access avec IPsec, ZTNA ou un accès basé sur l’application peut être plus adapté.

Pourquoi la connexion fonctionne-t-elle, mais aucune application interne n'est joignable ?

Le tunnel n’est alors qu’une partie du contrôle. Il manque souvent des règles firewall, la résolution DNS, le routage ou les chemins de retour. Dans le Log Viewer, il faut vérifier si le trafic provenant de la zone VPN atteint la règle attendue.