Configurer Sophos SSL VPN avec Sophos Connect sur Windows
SSL VPN reste une voie importante de Remote Access sur Sophos Firewall, surtout lorsque IPsec pose problème dans des hôtels, des réseaux invités ou des réseaux tiers fortement filtrés. Sur Windows, SSL VPN est aujourd’hui utilisé dans de nombreux environnements via Sophos Connect.
Cet article décrit l’installation sur Windows, l’import de la configuration .ovpn et les principaux contrôles après l’établissement de la connexion. Pour choisir d’abord entre Sophos Connect, SSL VPN, IPsec, les clients mobiles et ZTNA, consultez Sophos Connect ou SSL VPN : quelle solution de Remote Access choisir ?.
Positionnement
Cette procédure s’applique à Sophos Firewall avec SFOS. Selon la plateforme ou la situation de départ, un autre point d’entrée peut être plus adapté :
- Configurer SSL VPN avec Sophos Connect sur Windows : cet article.
- Configurer SSL VPN sur macOS : Configurer Sophos SSL VPN sur macOS.
- Configurer SSL VPN sur iOS : Configurer Sophos SSL VPN sur iOS.
- Évaluer Sophos Connect de manière générale : Sophos Connect ou SSL VPN : quelle solution de Remote Access choisir ?.
- Maintenir les versions du Sophos Connect Client et les profils : Vérifier la version du Sophos Connect Client et la mettre à jour en sécurité.
Important : Sophos Connect ne prend pas en charge SSL VPN uniquement sur Windows. Depuis Sophos Connect 2.0, Remote Access SSL VPN est également possible sur macOS. Les plateformes mobiles comme iOS et Android ne sont pas directement prises en charge par Sophos Connect pour IPsec et SSL VPN ; elles utilisent des clients compatibles OpenVPN ou des fonctions du système d’exploitation.
Prérequis
- Sophos Firewall avec une configuration SSL-VPN-Remote-Access déjà en place
- utilisateur autorisé à utiliser SSL VPN
- accès au VPN Portal ou à un fichier
.ovpnfourni administrativement - Sophos Connect dans une version actuelle adaptée à la plateforme Windows
- Windows 10 ou Windows 11, et aussi Windows ARM avec Sophos Connect 2.5 ou plus récent
- MFA/OTP configuré si Remote Access est protégé ainsi
- règles firewall pour le trafic provenant de la zone
VPN - processus clarifié pour distribuer les nouveaux fichiers
.ovpnaprès des changements
Si la configuration SSL VPN côté firewall n’est pas encore en place, il faut d’abord appliquer Configurer Sophos Firewall SSL VPN Remote Access.
Avant une mise à niveau vers SFOS 22 MR1, il faut aussi vérifier s’il existe encore d’anciennes configurations Remote-Access-IPsec. SSL VPN n’est pas directement concerné, mais de nombreux environnements réévaluent Remote Access à ce moment-là. La procédure est décrite dans Migrer Legacy Remote Access IPsec avant SFOS 22 MR1.
Planifier avant le téléchargement
Avant que les utilisateurs téléchargent le client, le mode d’exploitation de SSL VPN doit être clair. Beaucoup d’erreurs ultérieures ne viennent pas de l’installation, mais de profils anciens, de droits imprécis ou de règles firewall trop larges.
Questions de planification importantes :
- Utilisateurs : quels utilisateurs ou groupes sont autorisés comme Policy members pour SSL VPN ?
- Portail : le VPN Portal doit-il être joignable depuis Internet ou le fichier
.ovpnest-il distribué administrativement ? - Certificat : le certificat correspond-il au FQDN public et le navigateur n’affiche-t-il aucun avertissement ?
- MFA : OTP/MFA est-il demandé pour Remote Access et le déploiement des tokens est-il terminé ?
- DNS : des serveurs DNS internes et des domaines de recherche sont-ils nécessaires ?
- Accès : quels réseaux et services internes doivent être joignables depuis la zone
VPN? - Exploitation : qui met à jour Sophos Connect et distribue les nouveaux profils après des changements ?
Si le VPN Portal est accessible publiquement, il ne doit pas être considéré comme une simple page de téléchargement. C’est un service de connexion du firewall et il fait partie de la surface d’attaque. Device Access, certificat, MFA, journalisation et éventuelles restrictions par source ou par pays doivent donc être contrôlés consciemment.
1. Se connecter au VPN Portal
Ouvrir le VPN Portal de Sophos Firewall dans le navigateur et se connecter avec l’utilisateur VPN.

Si le navigateur signale un problème de certificat, il faut en vérifier la cause. Dans les environnements de production, un certificat valide pour le VPN Portal est plus propre qu’une exception permanente dans le navigateur. Pour les portails publics, le certificat, MFA et Device Access ne sont pas des détails, mais font partie de la sécurité Remote Access. Pour le durcissement, consultez Device Access et Local Service ACL sur Sophos Firewall.
Si l’utilisateur ne voit aucune configuration SSL VPN après une connexion réussie, c’est rarement un problème Windows. Il faut d’abord vérifier si l’utilisateur ou son groupe est inclus dans la bonne policy SSL VPN comme Policy members et si le bon portail est atteint.
2. Télécharger Sophos Connect et la configuration SSL VPN
Dans le VPN Portal, ouvrir la section VPN. Le Sophos Connect Client et la configuration SSL VPN y sont proposés. Pour SSL VPN, le fichier .ovpn est le fichier pertinent.

.ovpn ; le fichier doit correspondre à la configuration actuelle du firewall.Le Sophos Connect Client peut aussi être téléchargé directement depuis le site Sophos : télécharger le Sophos Connect Client.
Dans les environnements gérés, le client ne doit pas être installé au hasard. Il vaut mieux utiliser un paquet logiciel défini, avec une version claire, un groupe de test et un processus de mise à jour. La version validée doit venir des Release Notes officielles, du VPN Portal ou du paquet logiciel interne, pas de téléchargements isolés sur des appareils utilisateur. Les versions actuelles de Sophos Connect contiennent aussi des mises à jour de sécurité et de composants, par exemple pour OpenVPN ou OpenSSL.
Si un ancien client SSL VPN ou un autre client basé sur OpenVPN pour la même connexion est encore installé sur l’appareil Windows, cet état doit être nettoyé avant le déploiement. Plusieurs clients VPN maintenus en parallèle entraînent rapidement de mauvais adaptateurs, d’anciens profils et des cas de support peu clairs.
3. Installer Sophos Connect
Exécuter le setup et suivre les étapes d’installation.

Si un adaptateur réseau doit être confirmé pendant l’installation, cela fait partie du client VPN. Dans les environnements Windows gérés, cette étape doit être préparée proprement via la distribution logicielle ou des droits d’administration locaux.
Après l’installation, la version de Sophos Connect doit être documentée. Cela aide plus tard dans les cas de support, car erreurs client, erreurs de profil et erreurs firewall sont sinon vite mélangées. Pour l’exploitation courante, consultez Vérifier la version du Sophos Connect Client et la mettre à jour en sécurité.
4. Importer la configuration SSL VPN
Après l’installation, l’icône Sophos Connect apparaît dans la zone de notification de la barre des tâches Windows. Ouvrir Sophos Connect et importer le fichier .ovpn téléchargé.



Avec plusieurs profils, le nom de connexion doit être explicite. Les profils anciens ou en double entraînent rapidement des cas de support parce que les utilisateurs choisissent la mauvaise cible.
Après des changements de SSL-VPN-Policy, de certificat, de gateway, de DNS, de groupe d’utilisateurs ou de logique de provisioning, la connexion doit être réimportée. Une mise à jour du client ne remplace pas automatiquement un ancien profil .ovpn. Si Sophos Connect signale un écart de policy ou de compression, l’état du profil est souvent précisément le problème.
Indices typiques d’un profil obsolète ou incorrect :
- La connexion affiche un ancien nom de site : un ancien profil est souvent encore importé. Supprimer l’ancienne connexion et réimporter le
.ovpnactuel. - Avertissement de certificat ou de gateway : FQDN, certificat ou Override Hostname ont peut-être été modifiés. Télécharger à nouveau le profil depuis le VPN Portal actuel.
- DNS ne fonctionne que sur certains clients : vérifier les anciennes valeurs DNS dans le profil ou le comportement DNS local. Réimporter le profil et contrôler le DNS Windows.
- L’utilisateur ne voit aucune configuration dans le portail : vérifier attribution de policy ou contexte utilisateur. Contrôler la SSL-VPN-Policy et l’appartenance aux groupes.
5. Établir la connexion VPN
Sélectionner la connexion importée et cliquer sur Connect. Se connecter ensuite avec l’utilisateur VPN. Si MFA ou OTP est actif, le second facteur doit être confirmé conformément à la configuration du firewall.
Après l’établissement de la connexion, il ne faut pas seulement vérifier le statut dans le client. Le point décisif est de savoir si les destinations internes nécessaires sont joignables.
Contrôles après l’installation
Au minimum, ces points doivent être vérifiés avec un utilisateur de test :
- Sophos Connect affiche la connexion comme connectée.
- L’utilisateur reçoit une adresse IP du pool SSL VPN attendu.
- Les noms DNS internes sont résolus correctement.
- Les serveurs et applications nécessaires sont joignables.
- Le comportement Internet correspond au design : Split Tunnel ou Full Tunnel.
- Dans le Log Viewer, la règle firewall attendue pour le trafic provenant de la zone
VPNest visible. - MFA est demandé comme prévu.
- Une cible volontairement non autorisée reste bloquée.
- L’interruption de connexion et la reconnexion fonctionnent.
Si la connexion est établie mais qu’aucun accès ne fonctionne, la cause se trouve souvent non pas dans le client, mais dans les règles firewall, DNS, le routage ou NAT. Pour l’analyse, consultez Tester une règle firewall avec Log Viewer, Policy Test et Packet Capture.
Contrôle rapide côté Windows
Sur le client Windows, des contrôles simples aident avant de modifier la configuration du firewall :
ipconfig /all
route print
nslookup intranet.example.local
ping 10.10.10.10
Il ne s’agit pas d’autoriser chaque ping. Le point décisif est de savoir si le client a reçu une adresse SSL VPN, si une route vers le réseau interne cible existe et si DNS résout via le serveur attendu. Si l’accès fonctionne par adresse IP mais pas par nom, DNS est plus probable que la règle firewall.
Exploitation et sécurité
SSL VPN est un service Remote Access accessible publiquement. Il ne faut donc pas seulement documenter l’installation, mais aussi l’exploitation :
- mettre régulièrement à jour Sophos Connect ;
- activer et tester MFA pour Remote Access ;
- contrôler régulièrement les groupes VPN ;
- limiter autant que possible les accès au portail via Device Access et Local Service ACL ;
- garder les règles firewall pour la zone
VPNstrictes et journalisées ; - supprimer les anciens fichiers
.ovpnet les profils obsolètes ; - prévoir Syslog ou une analyse centralisée si la conservation des logs doit être longue.
Pour les bases MFA, consultez Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et Remote Access. Pour les fichiers journaux et les service logs, Sophos Firewall Troubleshooting : services et logs est utile.
Troubleshooting
La connexion au VPN Portal ne fonctionne pas
Vérifier l’utilisateur, le mot de passe, MFA, l’appartenance aux groupes et le serveur d’authentification. Si AD, RADIUS ou Microsoft Entra ID SSO intervient, l’authentification doit être testée séparément du VPN.
L’utilisateur ne voit aucune configuration SSL VPN dans le VPN Portal
Si la connexion fonctionne, mais qu’aucun fichier .ovpn ou téléchargement SSL VPN n’est visible, il ne faut pas chercher côté client Windows. Il faut d’abord vérifier la SSL-VPN-Policy, les Policy members, l’appartenance aux groupes, l’accès au portail et la limite User-ID. Le déroulement côté firewall est décrit dans Configurer Sophos Firewall SSL VPN Remote Access.
Le fichier .ovpn ne peut pas être importé
Vérifier d’abord si le fichier correspond bien à la configuration actuelle du firewall et si Sophos Connect est suffisamment récent. En présence de caractères spéciaux dans les certificats ou les données utilisateur, il faut utiliser une version de client actuelle.
Si le téléchargement du fichier .ovpn échoue dans le VPN Portal alors que la connexion et les droits sont corrects, il faut aussi contrôler la limite Sophos Firewall User-ID.
La connexion est établie, mais les systèmes internes ne sont pas joignables
Vérifier DNS, les règles firewall, le routage, NAT et le chemin de retour. Dans le Log Viewer, le trafic provenant de la zone VPN doit être visible. Si aucun log n’apparaît, le trafic n’atteint probablement pas la règle attendue ou la journalisation est désactivée.
Si de petits accès fonctionnent, mais que des transferts de fichiers plus volumineux ou certaines applications restent bloqués, il faut aussi vérifier MTU/MSS : Vérifier MTU et MSS sur Sophos Firewall en cas de problèmes VPN.
Sophos Connect signale Policy mismatch ou Compression mismatch
Ces messages indiquent souvent que la configuration du firewall a été modifiée, mais que le client utilise encore un ancien profil SSL VPN. Dans ce cas, le fichier .ovpn actuel doit être téléchargé à nouveau depuis le VPN Portal ou redistribué administrativement, puis réimporté.
Après un changement de profil, Sophos Connect se connecte encore à l’ancienne cible
Souvent, une ancienne entrée de connexion existe encore ou les utilisateurs choisissent le mauvais nom de profil dans le client. Il faut supprimer les anciens profils, réimporter le .ovpn actuel et choisir un nom de profil qui identifie clairement le site, l’environnement ou l’objectif.
La connexion se coupe dans des réseaux tiers
SSL VPN est souvent plus tolérant qu’IPsec, mais il n’est pas immunisé contre les réseaux restrictifs, les Captive Portals, l’obligation de passer par un proxy ou les WLAN instables. Dans ce cas, tester avec un deuxième réseau et vérifier si Split Tunnel, le port, le protocole ou ZTNA conviennent mieux.
Collecter les données de support
Si l’erreur n’est pas directement visible, Sophos Connect peut générer un rapport de support technique. Celui-ci contient les événements de connexion, les configurations VPN et des informations sur l’endpoint. Avant toute transmission, les données sensibles comme les noms d’utilisateur, les hostnames internes, les adresses IP et les FQDN de gateway doivent être contrôlées.
Côté firewall, Log Viewer, sslvpn.log, openvpn-status*.log et la règle firewall correspondante aident en parallèle. L’affectation des fichiers journaux est indiquée dans Sophos Firewall Troubleshooting : services et logs.