Aller au contenu
Avanet

Installer le client Sophos Connect sur macOS

Sophos Connect peut être utilisé sur macOS pour l’accès à distance avec Sophos Firewall. Dans les versions récentes, IPsec n’est plus le seul protocole pertinent : depuis Sophos Connect 2.0, l’accès à distance SSL VPN sur macOS est également possible. Cela a modifié la recommandation pour de nombreux environnements.

Cet article décrit l’installation sur macOS, l’importation de la connexion appropriée et les contrôles essentiels après l’établissement de la connexion. Pour la décision fondamentale entre Sophos Connect, SSL VPN, les clients OpenVPN et ZTNA, consultez Sophos Connect ou SSL VPN : Quelle solution d’accès à distance convient ?.

Quel article convient ?

Sophos Connect sur macOS se recoupe rapidement avec d’autres articles sur l’accès à distance. Selon la tâche, un autre point de départ peut être préférable :

Cette distinction est importante car l’installation du client n’est qu’une partie de l’exploitation de l’accès à distance. Les règles de pare-feu, DNS, MFA, certificats, portail VPN et distribution de profil restent des points de contrôle séparés.

Prérequis

  • Sophos Firewall avec une configuration d’accès à distance établie
  • Client Sophos Connect dans une version compatible avec le pare-feu et la plateforme
  • Pour Sophos Connect 2.0 ou plus récent : macOS Ventura 13 ou plus récent
  • Mac avec processeur Intel ou Apple Silicon via Rosetta 2
  • Fichier de configuration pour IPsec (.scx ou .tgb) ou SSL VPN (.ovpn)
  • Compte utilisateur avec autorisation VPN et, si activé, MFA fonctionnelle
  • Règles de pare-feu pour le trafic depuis la zone VPN ou la zone d’accès à distance utilisée

Si SSL VPN doit être utilisé sur macOS, Sophos Connect 2.0 ou plus récent doit être utilisé. Les anciennes instructions internes doivent donc être vérifiées pour s’assurer qu’elles ne reposent pas sur l’ancienne situation IPsec uniquement. Pour la vérification des versions, la planification des mises à jour et les problèmes typiques de DNS/profil, consultez Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect.

Important : Pour macOS, le support des fichiers de provisioning n’est pas documenté. Pour macOS, il convient donc de planifier avec un fichier de configuration IPsec importé ou un fichier .ovpn. Si un déploiement doit être entièrement automatisé, il faut d’abord vérifier si le MDM utilisé peut gérer correctement les processus de fichiers et d’utilisateurs.

1. Télécharger le client Sophos Connect

Le client Sophos Connect pour macOS peut être obtenu selon l’environnement via le pare-feu, le portail VPN ou la page de téléchargement Sophos. Dans les environnements gérés, il devrait être défini quelle version du client est distribuée et où les utilisateurs obtiennent le fichier de configuration approprié.

Pour IPsec, un fichier .scx ou .tgb est généralement utilisé. Pour SSL VPN, un fichier .ovpn est importé. Le fichier correct dépend de la configuration d’accès à distance sur le pare-feu.

  • Accès à distance IPsec: .scx ou .tgb. utilisable avec Sophos Connect sur Intel et Apple Silicon.
  • SSL VPN: .ovpn. Sophos Connect 2.0 ou plus récent requis.
  • Provisioning: .pro. ne pas planifier comme standard pour macOS.

Dans une configuration IPsec classique de Sophos Connect, la connexion est exportée dans le WebAdmin :

  1. Ouvrir VPN > Sophos Connect Client sur le Sophos Firewall.
  2. Exporter la connexion.
  3. Stocker le fichier en toute sécurité et le fournir uniquement aux utilisateurs autorisés.

Selon la source de téléchargement, l’installateur se trouve dans un fichier Zip. Après décompression, on trouve généralement le paquet Sophos Connect.pkg pour macOS.

Pour les Macs gérés, l’installateur ne doit pas être largement distribué sans groupe pilote. Au moins un Mac Intel et un Mac Apple Silicon doivent être testés si les deux plateformes sont présentes dans l’entreprise.

2. Installer le client Sophos Connect

L’installation commence par un double-clic sur Sophos Connect.pkg. Après avoir terminé l’assistant d’installation, la fenêtre peut être fermée avec Fermer.

Sur les appareils Apple Silicon, Rosetta 2 peut être nécessaire. Si macOS affiche un message correspondant pendant l’installation, Rosetta 2 doit être installé et le client redémarré.

Après l’installation, la version doit être vérifiée directement dans le client. C’est particulièrement important si plusieurs paquets d’installation circulaient en interne ou si les utilisateurs avaient déjà installé le client auparavant.

Configuration du client Sophos Connect sur macOS
Sophos Connect est lancé via le paquet d’installation macOS.
Configuration du client Sophos Connect sur macOS
L’assistant d’installation guide à travers l’installation standard.
Configuration du client Sophos Connect sur macOS - emplacement
L’emplacement d’installation doit normalement rester inchangé.
Configuration du client Sophos Connect sur macOS - installer
Avant de commencer, il doit être clair quelle version du client est distribuée.
Configuration du client Sophos Connect sur macOS - processus d'installation
L’installation doit être terminée sans profil utilisateur ni configuration VPN.
Configuration du client Sophos Connect sur macOS - installation terminée
Après l’installation, la connexion ne sera utilisable qu’après l’importation du profil.

3. Télécharger le fichier de connexion

Au premier démarrage, Sophos Connect nécessite une configuration de connexion. Ce fichier doit provenir de la configuration de pare-feu actuellement valide et ne pas être réutilisé à partir d’une ancienne archive utilisateur.

Fichiers de connexion typiques :

  • Accès à distance IPsec: .scx ou .tgb. Export sous VPN > Sophos Connect Client.
  • SSL VPN: .ovpn. Portail VPN ou export administratif.

Si des anciennes configurations d’accès à distance IPsec sont encore utilisées avant une mise à niveau SFOS-22-MR1, un ancien profil ne doit pas être simplement redistribué. Dans ce cas, vérifiez d’abord Migrer l’accès à distance IPsec hérité avant SFOS 22 MR1.

Les profils doivent être traités comme des informations d’identification. Un ancien fichier .ovpn, .scx ou .tgb peut toujours contenir des réseaux internes, des noms de passerelle, des certificats ou des références utilisateur. Si la passerelle, le certificat, le DNS, le groupe d’utilisateurs, le pool IP ou l’authentification ont été modifiés, le profil doit être réexporté et réimporté.

4. Configurer le client Sophos Connect

La configuration du client Sophos Connect se fait en quelques étapes :

  1. Ouvrir Sophos Connect.
  2. Sélectionner Import Connection.
  3. Importer le fichier de connexion approprié.
  4. Vérifier la connexion sous Connections.
  5. Cliquer sur Connect.
  6. Se connecter avec l’utilisateur VPN et confirmer la MFA, si activée.

Après l’établissement réussi de la connexion, il convient de vérifier si les noms DNS internes sont résolus et si les systèmes nécessaires sont accessibles. Si la connexion est établie mais qu’aucun trafic ne passe, Log Viewer, Policy Test et Packet Capture peuvent aider. La bonne instruction est Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture.

Pour SSL VPN sur macOS, le test DNS est particulièrement important. Sophos Connect 2.0 MR1 corrige un problème où les paramètres DNS pour les connexions SSL VPN sur macOS n’étaient pas appliqués correctement. Si les noms internes ne sont pas résolus, il convient d’abord de vérifier la version et l’état du profil avant de modifier aveuglément les règles DNS.

Client Sophos Connect - Interface macOS
Sophos Connect affiche les connexions importées dans l’interface du client.
Client Sophos Connect - Connexion macOS
Lors de l’établissement de la connexion, l’authentification de l’utilisateur et, selon la configuration, la MFA sont demandées.
Client Sophos Connect - macOS Connecté
Le statut Connecté est seulement le premier test, pas l’acceptation complète.
Client Sophos Connect - Détails réseau macOS
Après l’établissement, l’IP VPN, le DNS et les cibles internes accessibles doivent être vérifiés.
Client Sophos Connect - Détails de chiffrement macOS
Les détails de la connexion aident en cas de support, de comparaison de profil et d’analyse des erreurs.

IPsec avec les outils intégrés de macOS

Selon la configuration du pare-feu, l’accès à distance IPsec peut également être configuré avec les outils intégrés de macOS. C’est un modèle d’exploitation distinct et ne doit pas être confondu avec Sophos Connect. Cela peut être utile si aucun logiciel client supplémentaire n’est souhaité, mais ne convient pas à tous les environnements.

Procédure pratique si cette variante est utilisée consciemment :

  1. Se connecter au User Portal du Sophos Firewall.
  2. Télécharger la configuration IPsec appropriée pour les appareils Apple.
  3. Ouvrir et installer le profil sur le Mac.
  4. Vérifier la connexion dans les paramètres réseau de macOS.
  5. Tester la connexion et valider les cibles internes.
Configuration IPsec du UserPortal Sophos Firewall
Le User Portal peut fournir une configuration IPsec pour les appareils Apple.
Importation de la configuration IPsec Sophos sur macOS
Le profil téléchargé est importé et confirmé dans macOS.
VPN IPsec macOS avec outils intégrés
La connexion IPsec apparaît ensuite dans les paramètres réseau de macOS.

Si Sophos Connect et les outils intégrés de macOS sont utilisés en parallèle, cela doit être documenté intentionnellement. Sinon, des cas de support peuvent survenir où les utilisateurs disent “VPN”, mais signifient des profils, protocoles et comportements DNS différents.

Vérifications après l’installation

Après l’installation, ces points doivent être contrôlés :

  • La version de Sophos Connect est compatible avec la version de macOS utilisée.
  • Sur Apple Silicon, Rosetta 2 est disponible si le client en a besoin.
  • Le fichier importé correspond au protocole souhaité : IPsec ou SSL VPN.
  • L’utilisateur est autorisé dans le bon groupe VPN.
  • La MFA fonctionne et est demandée de manière compréhensible.
  • Le client reçoit une IP VPN appropriée.
  • Les noms DNS internes sont résolus.
  • Les règles de pare-feu pour la zone VPN n’autorisent que les cibles nécessaires.

Test d’acceptation pour macOS

Un statut de connexion vert ne suffit pas comme acceptation. Pour un déploiement fiable, un utilisateur test doit passer par ces points :

  • Vérifier la version du client: La version est compatible avec macOS, IPsec ou SSL VPN et la libération interne.
  • Vérifier Apple Silicon: Rosetta 2 est présent et Sophos Connect démarre de manière fiable.
  • Importer le profil: le bon fichier pour IPsec ou SSL VPN est accepté.
  • Tester la MFA: La connexion demande le second facteur attendu.
  • Tester le DNS: Les FQDN internes se résolvent correctement.
  • Tester l’accès: Les serveurs autorisés fonctionnent, les cibles non autorisées restent bloquées.
  • Vérifier Log Viewer: Le trafic de la zone VPN atteint la règle de pare-feu attendue.
  • Tester la reconnexion: La déconnexion, le changement de réseau et la reconnexion fonctionnent.

Dans les environnements mixtes, au moins un Mac Intel et un Mac Apple Silicon doivent être testés. Si des clients Windows sont également utilisés, leur comportement ne doit pas être tacitement assimilé. La plateforme, le type de profil et la version du client peuvent différer.

Conseils de déploiement pour les Macs gérés

Pour quelques utilisateurs, une installation manuelle avec importation de profil contrôlée suffit souvent. Dans les environnements plus vastes, Sophos Connect doit être traité comme tout autre logiciel client de sécurité.

Avant un déploiement large, clarifiez :

  • Quelle version de Sophos Connect est approuvée ?
  • Quelles versions de macOS sont utilisées ?
  • Y a-t-il des Macs Intel, des Macs Apple Silicon ou les deux ?
  • IPsec, SSL VPN ou les deux sont-ils utilisés ?
  • Où les utilisateurs obtiennent-ils le profil actuel ?
  • Qui informe les utilisateurs si les profils doivent être réimportés ?
  • Comment le support technique reconnaît-il les profils obsolètes ?
  • Les portails VPN, MFA et certificats sont-ils surveillés séparément ?

Les anciens paquets d’installation et anciens profils doivent être retirés des dépôts de téléchargement internes ou clairement marqués comme obsolètes. Surtout pour l’accès à distance, un “ancien profil quelconque du dossier de téléchargement” conduit rapidement à une recherche d’erreurs inutile.

Dépannage

La connexion est importée, mais ne s’établit pas

Vérifiez d’abord si le fichier appartient au bon protocole et si la version de Sophos Connect est adaptée. SSL VPN sur macOS nécessite Sophos Connect 2.0 ou plus récent. Ensuite, vérifiez l’autorisation de l’utilisateur, la MFA, le certificat, la passerelle, l’heure du pare-feu et le FQDN du portail VPN ou de la passerelle accessible.

Les noms internes ne sont pas résolus

Pour SSL VPN sur macOS, la version de Sophos Connect utilisée doit être vérifiée, car des corrections spécifiques ont été apportées dans ce domaine. Ensuite, vérifiez le serveur DNS, les domaines de recherche, le profil importé et les règles de pare-feu.

Si les adresses IP fonctionnent mais pas les noms, le problème est probablement DNS. Si les adresses IP ne fonctionnent pas non plus, le routage, les règles de pare-feu, le NAT ou le chemin de retour sont plus probables.

La connexion est établie, mais aucun accès ne fonctionne

La cause réside souvent dans les règles de pare-feu, le routage, le NAT ou le chemin de retour. Dans le Log Viewer, il doit être visible si le trafic de la zone VPN atteint la règle attendue. Pour les cas particuliers IPsec, consultez Dépannage VPN IPsec Sophos Firewall.

Après une modification de profil, la connexion ne fonctionne plus

Après des modifications de passerelle, certificat, port, DNS, pool IP, groupe d’utilisateurs ou authentification, le profil doit être réexporté et réimporté. Une mise à jour du client ne remplace pas automatiquement un ancien profil.

L’enregistrement des informations d’identification n’est pas visible

Sophos a réactivé cette option pour SSL VPN sur macOS dans Sophos Connect 2.0 MR1. Après une mise à jour, le fichier de configuration doit être réimporté pour que l’option puisse être utilisée. Dans les environnements avec MFA, il convient également de vérifier si l’enregistrement des informations d’identification s’intègre au concept de sécurité.

La connexion est établie, mais les transferts importants sont bloqués

Si la connexion, le DNS et les petits accès fonctionnent, mais que les transferts de fichiers plus importants ou certaines applications sont bloqués, MTU/MSS doit également être vérifié. Ce symptôme correspond souvent à une fragmentation, PPPoE, des connexions tunnelisées ou un chemin asymétrique. La procédure est décrite dans Vérifier MTU et MSS pour les problèmes VPN Sophos Firewall.

Collecter des données de support

Si l’erreur n’est pas directement visible, il convient de documenter le moment, l’utilisateur, la version de macOS, la version de Sophos Connect, le type de profil, le réseau source et le système cible. Sur le pare-feu, Log Viewer, sslvpn.log, les journaux IPsec, Packet Capture et la règle de pare-feu concernée sont utiles. L’attribution des fichiers journaux est décrite dans Dépannage Sophos Firewall : Services et journaux.

FAQ

Sophos Connect prend-il en charge SSL VPN sur macOS ?

Oui. Depuis Sophos Connect 2.0, le client Sophos Connect sur macOS peut utiliser l’accès à distance SSL VPN.

Apple Silicon est-il pris en charge ?

Oui, les versions actuelles de Sophos Connect prennent en charge les Mac avec Apple Silicon via Rosetta 2. Dans les environnements gérés, Rosetta 2 doit donc être pris en compte lors du déploiement.

Peut-on continuer à utiliser les outils intégrés de macOS pour IPsec ?

Oui, selon la configuration du pare-feu. Cependant, c’est un autre modèle d’exploitation que Sophos Connect et cela doit être documenté consciemment.

Sophos Connect prend-il en charge les fichiers de provisioning sur macOS ?

Pour macOS, il ne faut pas planifier avec des fichiers de provisioning .pro comme standard. Pour macOS, les fichiers de configuration IPsec et les fichiers SSL-VPN-OVPN sont documentés, mais pas le support de provisioning.

Pourquoi un profil doit-il être réimporté après des modifications ?

Le profil contient des détails de connexion tels que la passerelle, la référence de certificat, les informations DNS ou la configuration VPN. Si ces valeurs ont été modifiées sur le pare-feu, un ancien profil utilise toujours l’ancien état.

Qu'est-ce qui est important avec SFOS 22 MR1 ?

Avant une mise à niveau vers SFOS 22.0 MR1 ou plus récent, il faut vérifier s’il reste des accès à distance IPsec hérités. Ces anciens éléments bloquent la mise à niveau et doivent être migrés ou supprimés au préalable.