Configurer Sophos SSL VPN avec Sophos Connect sur macOS
Le VPN SSL sur macOS était souvent configuré avec Tunnelblick ou d’autres clients OpenVPN. Cela est toujours possible, mais ce n’est plus la seule option évidente : depuis Sophos Connect 2.0, Sophos prend également en charge le VPN SSL d’accès à distance sur macOS.
L’article décrit le chemin standard actuel avec Sophos Connect sur macOS et classe Tunnelblick comme alternative. Au moment de choisir entre Sophos Connect, SSL VPN, IPsec, les clients mobiles et ZTNA, la première chose qui convient est Sophos Connect ou SSL VPN : quelle solution d’accès à distance est la bonne ?.
Quel article VPN macOS correspond ?
Ces instructions s’appliquent à Sophos Firewall avec SFOS et SSL VPN sur macOS. Selon la tâche, une approche différente est appropriée :
- Installer Sophos Connect de manière générale sur macOS: Installer le client Sophos Connect sur macOS.
- Configurer SSL VPN côté pare-feu: Configurer l’accès à distance VPN SSL de Sophos Firewall.
- Configurer SSL VPN sur macOS avec Sophos Connect: Cet article.
- Configurer un VPN SSL sous Windows: Configurateur Sophos SSL VPN avec Sophos Connect sous Windows.
- Configurer un VPN SSL sur iPhone, iPad ou Android: iPhone/iPad ou Androïde.
- Maintenir les versions et les profils des clients Sophos Connect: Vérifiez et mettez à jour en toute sécurité la version de Sophos Connect Client.
- Le VPN est connecté mais le trafic ne fonctionne pas: Testez les règles du pare-feu avec Log Viewer, Policy Test et Packet Capture.
Les plates-formes mobiles telles qu’iOS et Android ne sont pas directement prises en charge par Sophos Connect pour IPsec et SSL VPN. Les clients ou les fonctions du système d’exploitation compatibles OpenVPN y restent pertinents.
Exigences
- Configuration du pare-feu Sophos avec accès à distance VPN SSL
- Utilisateurs autorisés pour SSL VPN
- Accès au portail VPN ou à un fichier
.ovpnfourni administrativement - Sophos Connect 2.0 ou version ultérieure
- macOS Ventura 13 ou version ultérieure avec Sophos Connect 2.0+
- Mac avec processeur Intel ou Apple Silicon via Rosetta 2
- MFA/OTP configuré si l’accès à distance est protégé avec celui-ci
- Règles de pare-feu pour le trafic provenant de la zone
VPN
Si la configuration VPN SSL côté pare-feu n’est pas encore en place, Configurer l’accès à distance VPN SSL de Sophos Firewall doit être implémenté en premier.
Avant de mettre à niveau SFOS 22 MR1, vous devez également vérifier si les anciennes configurations IPsec d’accès à distance existent toujours. Le VPN SSL n’est pas directement affecté par cela, mais de nombreux environnements réévaluent actuellement l’accès à distance. Le processus est en Migrer l’ancien accès à distance IPsec avant SFOS 22 MR1.
Sophos Connect ou Tunnelblick ?
Pour les nouveaux déploiements macOS, Sophos Connect doit être vérifié en premier car Sophos Connect est le propre client de Sophos et prend en charge SSL VPN sur macOS depuis la version 2.0. Tunnelblick reste une alternative à OpenVPN, mais ne devrait pas émerger comme un deuxième standard imprévu.
- Sophos Connect: Mac gérés, processus de support unifié, environnement SFOS actuel. Version, configuration requise pour macOS, Rosetta 2 chez Apple Silicon et profil
.ovpnactuel. - Tunnelblick ou autre client OpenVPN: processus OpenVPN existant, cas particuliers, écart délibéré par rapport à Sophos Connect. Documenter clairement la version d’OpenVPN, la maintenance du profil, le comportement DNS et la responsabilité du support.
Le nom du client est moins important que l’opération : il doit être clair quel client est pris en charge, quelle version est distribuée, d’où vient le profil et quand les utilisateurs doivent importer un nouveau profil.
1. Déployez Sophos Connect pour macOS
Sophos Connect peut être déployé via le pare-feu Sophos, le portail VPN ou la Page de téléchargement Sophos en fonction de votre environnement. Dans les environnements gérés, il doit être clair quelle version du client est déployée et si Rosetta 2 est présent sur les appareils Apple Silicon.
SSL VPN sur macOS nécessite Sophos Connect 2.0 ou version ultérieure. Les anciennes instructions internes ou packages d’installation ne doivent donc pas être utilisés sans les vérifier. Sophos Connect 2.0 MR1 apporte plusieurs correctifs spécifiques à macOS, notamment les paramètres DNS pour les connexions VPN SSL et la possibilité d’enregistrer les informations d’identification. Après une mise à niveau, le profil doit être réimporté si cette option doit être utilisée.
2. Obtenir la configuration OVPN
La configuration du VPN SSL est fournie sous forme de fichier .ovpn. Selon le modèle d’exploitation, les utilisateurs les téléchargent depuis le portail VPN ou les reçoivent contrôlés via le processus d’administration.
Processus typique dans le portail VPN :
- Ouvrez le portail VPN du Sophos Firewall.
- Connectez-vous avec l’utilisateur VPN.
- Passez à la zone
VPN. - Téléchargez la configuration VPN SSL pour le profil.
- Stockez le fichier
.ovpnen toute sécurité et utilisez-le uniquement pour l’utilisateur autorisé.
Si le navigateur vous avertit du certificat du portail, la cause doit être vérifiée. Dans les environnements productifs, un certificat valide pour le portail VPN est plus propre qu’une exception persistante du navigateur. Accès aux appareils et ACL de service local sur Sophos Firewall convient au renforcement.
Après toute modification de la passerelle, du port, du certificat, du DNS, de la plage de bail, de l’authentification ou de la politique VPN SSL, le profil doit être retéléchargé et importé. Une mise à jour client seule ne met pas à jour un ancien profil .ovpn.
3. Importer la connexion dans Sophos Connect
Ouvrez Sophos Connect et importez le fichier .ovpn. La connexion devrait alors apparaître dans la liste des connexions. Si vous disposez de plusieurs profils, il est important d’avoir un nom unique afin que les utilisateurs et l’assistance n’utilisent pas accidentellement le mauvais profil.
Si l’import ne fonctionne pas, vérifiez d’abord la version client, le type de fichier et l’origine du fichier de configuration. SSL VPN sur macOS nécessite Sophos Connect 2.0 ou version ultérieure.
4. Établissez une connexion VPN
Sélectionnez la connexion importée et cliquez sur Connect. Connectez-vous ensuite avec l’utilisateur VPN. Si MFA ou OTP est actif, le deuxième facteur doit être confirmé en fonction de la configuration du pare-feu.
Une fois la connexion établie, il ne suffit pas de vérifier l’état du client. Ce qui est crucial est de savoir si les objectifs internes requis peuvent être atteints.
Vérifiez après l’installation
Au moins ces points doivent être vérifiés avec un utilisateur test :
- Sophos Connect affiche la connexion comme étant connectée.
- L’utilisateur reçoit une adresse IP du pool VPN SSL attendu.
- Les noms DNS internes sont résolus correctement.
- Les serveurs et applications requis sont accessibles.
- Le comportement Internet correspond à la conception : tunnel divisé ou tunnel complet.
- La règle de pare-feu attendue pour le trafic provenant de la zone
VPNest visible dans la visionneuse de journaux. - MFA est interrogé comme prévu.
- Travaux de déconnexion et de reconnexion.
Si la connexion est établie mais qu’aucun accès ne fonctionne, la cause n’est souvent pas le client, mais plutôt les règles de pare-feu, le DNS, le routage ou le NAT. Testez les règles de pare-feu avec Log Viewer, Policy Test et Packet Capture convient à l’analyse.
Test d’acceptation sur macOS
Après la configuration, vous devez documenter un scénario de test réel, et pas seulement le statut du client vert.
- Vérifier la version de Sophos Connect: La version du client correspond à la version macOS et à la prise en charge du VPN SSL.
- Testez le silicium Apple: Rosetta 2 est disponible et le client démarre de manière fiable.
- Vérifier l’importation du profil: Le profil
.ovpnprovient de la configuration actuelle du pare-feu. - Tester l’AMF: La connexion avec le bon et le mauvais facteur se comporte de manière compréhensible.
- Tester le DNS: Les noms internes sont résolus correctement, pas seulement les adresses IP.
- Accès aux tests: Les cibles autorisées fonctionnent, les cibles non autorisées restent bloquées.
- Vérifier la visionneuse de journaux: Le trafic provenant de la zone
VPNatteint la règle de pare-feu attendue. - Tester la reconnexion: La déconnexion et la reconnexion fonctionnent sans changer de profil.
Si plusieurs versions de macOS sont utilisées dans l’entreprise, au moins un Mac Intel et un Mac Apple Silicon doivent être testés. Pour les clients mixtes, vous devez également vérifier que Sophos Connect et Tunnelblick n’utilisent pas de profils ou de résultats DNS différents.
Alternative : Tunnelblick ou autre client OpenVPN
Tunnelblick peut toujours être utile si Sophos Connect n’est pas utilisé ou si un processus OpenVPN existant est délibérément conservé. Cette variante doit toutefois être documentée en tant que norme d’exploitation distincte afin que Sophos Connect, Tunnelblick et les anciens profils ne circulent pas en même temps.
Avec Tunnelblick, le fichier .ovpn est importé. Après cela, la version OpenVPN, le profil, la connexion utilisateur et le comportement DNS doivent être vérifiés. Les anciennes spécifications générales pour une version spécifique d’OpenVPN ne doivent pas être adoptées sans vérification ; Les facteurs décisifs sont la version du pare-feu actuellement utilisée, la version du client et le profil spécifique.
Opérations et sécurité
SSL VPN est un service d’accès à distance accessible au public. C’est pourquoi vous devez non seulement documenter l’installation, mais aussi le fonctionnement :
- Mettez régulièrement à jour le client Sophos Connect ou OpenVPN.
- Activez et testez MFA pour l’accès à distance.
- Vérifiez régulièrement les groupes VPN.
- Limitez l’accès au portail via l’accès aux appareils et l’ACL de service local lorsque cela est possible.
- Gardez les règles de pare-feu strictes pour la zone
VPNet enregistrez-vous. - Supprimez les anciens fichiers
.ovpnet les profils obsolètes. - Si les journaux sont stockés pendant une période plus longue, prévoyez un syslog ou une évaluation centrale.
Pour les bases de MFA, Activer MFA pour Sophos Firewall WebAdmin, le portail VPN et l’accès à distance convient. Pour les fichiers journaux et les journaux de service, Dépannage de Sophos Firewall : services et journaux est utile.
Liste de contrôle de déploiement de macOS
- Le client par défaut pris en charge est défini : Sophos Connect ou délibérément un client OpenVPN.
- La version Sophos Connect est adaptée à macOS Ventura 13 ou version ultérieure.
- Les appareils Apple Silicon ont inclus Rosetta 2 dans le déploiement.
- Le profil
.ovpnprovient de la configuration VPN SSL actuelle. - Le portail VPN utilise un certificat valide.
- L’utilisateur est inclus dans la politique VPN SSL correcte.
- Le comportement MFA est documenté et testé avec un utilisateur test.
- Le DNS, le domaine de recherche et les systèmes cibles internes ont été testés sur macOS.
- Règles de pare-feu pour le trafic de test du journal de la zone
VPN. - Après les modifications de profil, il est clair qui informera les utilisateurs de la nouvelle importation.
Dépannage
Sophos Connect n’importe pas le fichier OVPN
Vous devez d’abord vérifier si Sophos Connect 2.0 ou une version plus récente est installé et si le fichier provient réellement de la configuration VPN SSL actuelle. Rechargez ensuite le fichier depuis le portail VPN ou redéployez-le administrativement.
Les noms internes ne sont pas résolus
Vérifiez les serveurs DNS, les domaines de recherche et la configuration du VPN SSL sur le pare-feu. Pour Sophos Connect sur macOS, l’état du client doit également être vérifié car Sophos a résolu un problème DNS avec les connexions VPN SSL sur macOS dans la version 2.0 MR1.
Si les adresses IP fonctionnent mais pas les noms, il s’agit d’un problème de DNS ou de domaine de recherche. Si les adresses IP ne fonctionnent pas non plus, le routage, les règles de pare-feu ou le chemin de retour sont plus probables.
La connexion est établie, mais les systèmes internes ne sont pas accessibles
Vérifiez les règles de pare-feu, le routage, le NAT et le chemin de retour. Le trafic provenant de la zone VPN doit être visible dans la visionneuse de journaux. Si aucun journal n’apparaît, le trafic n’atteint probablement pas la règle attendue ou la journalisation est désactivée.
Si de petits accès fonctionnent, mais des transferts de fichiers plus volumineux ou certaines applications se bloquent, MTU/MSS doit également être vérifié : Vérifiez le MTU et le MSS de Sophos Firewall pour détecter les problèmes VPN..
La connexion ne fonctionne plus après changement de profil
Après des modifications de la passerelle, du certificat, du port, du DNS, de la plage de bail ou de l’authentification, le profil .ovpn doit être réimporté. Si seul le client a été mis à jour mais qu’un ancien profil reste utilisé, les anciennes destinations, ports ou valeurs DNS peuvent toujours être utilisés.
Les données d’accès enregistrées ne sont pas visibles
Sophos a réactivé l’option permettant d’enregistrer les informations d’identification dans Sophos Connect 2.0 MR1 pour macOS. Après la mise à jour, la configuration doit être réimportée pour que l’option puisse être utilisée. Dans les environnements avec MFA, vous devez toujours vérifier si le stockage des données d’accès correspond au concept de sécurité.
Rupture de connexion dans les réseaux étrangers
Le VPN SSL est souvent plus tolérant que l’IPsec, mais n’est pas à l’abri des réseaux restrictifs, des portails captifs, de la coercition du proxy ou des WLAN instables. Dans de tels cas, testez avec un deuxième réseau et vérifiez si le tunnel divisé, le port, le protocole ou le ZTNA conviennent mieux.
Collecter les données d’assistance
Si l’erreur n’est pas immédiatement visible, vous devez documenter les journaux du client, l’heure, l’utilisateur, le réseau source et le système cible. Du côté du pare-feu, Log Viewer, sslvpn.log, openvpn-status*.log et la règle de pare-feu appropriée aident en parallèle. L’affectation des fichiers journaux se trouve dans Dépannage de Sophos Firewall : services et journaux.