Configurer le Remote Access Sophos Firewall sous Linux
Pour Windows et macOS, Sophos Connect propose un client propre pour IPsec et SSL VPN. Pour Linux, Sophos ne propose aucun client Sophos Connect propre. Qui souhaite se connecter à Sophos Firewall Remote Access sous Linux utilise à la place des outils standards : le client OpenVPN classique pour SSL VPN ou NetworkManager avec le plugin strongSwan pour IPsec.
Cet article décrit les deux voies et indique quand quelle méthode est pertinente. Pour le choix fondamental entre IPsec et SSL VPN, voir d’abord Sophos Connect ou SSL VPN : quelle solution de Remote Access convient ?. Pour la configuration côté firewall du SSL VPN Remote Access, Configurer le SSL VPN Remote Access Sophos Firewall constitue la base appropriée.
Positionnement par rapport aux autres clients
- Windows ou macOS avec Sophos Connect : Installer le client Sophos Connect sur Windows ou Installer le client Sophos Connect sur macOS.
- iOS ou Android avec OpenVPN Connect : Configurer Sophos SSL VPN sur iPhone et iPad ou Configurer Sophos SSL VPN sur Android.
- Linux avec OpenVPN ou NetworkManager-strongSwan : cet article.
Linux n’est donc pas un cas particulier au sens négatif, mais suit le même schéma que les plateformes mobiles : au lieu d’un client propriétaire du fabricant, ce sont des outils standards établis qui sont utilisés, travaillant avec le fichier de configuration fourni par le firewall.
Prérequis
- Sophos Firewall avec SSL VPN Remote Access ou IPsec Remote Access configuré.
- Compte utilisateur avec autorisation VPN et, si activé, MFA fonctionnel.
- Pour SSL VPN : le paquet client OpenVPN sur le système Linux, par exemple
openvpnsous Debian/Ubuntu ou la source de paquets spécifique à la distribution correspondante. - Pour IPsec : NetworkManager avec le plugin strongSwan, par exemple
network-manager-strongswansous Debian/Ubuntu. - Accès au VPN Portal ou à un fichier de configuration fourni administrativement.
⚠️ Il n’existe pas de client Sophos Connect officiel pour Linux. Les tutoriels ou téléchargements qui font la promotion d’un « Sophos Connect pour Linux » ne font pas partie de l’offre officielle de Sophos et ne devraient pas être installés sans vérification.
Configurer SSL VPN avec OpenVPN
La voie officiellement documentée par Sophos pour Linux est le SSL VPN Remote Access avec le client OpenVPN classique.
1. Installer le client OpenVPN
Sur la plupart des distributions, le paquet standard du gestionnaire de paquets suffit, par exemple :
sudo apt install openvpn
Qui préfère une interface graphique peut installer en plus le plugin NetworkManager-OpenVPN, par exemple network-manager-openvpn-gnome, et importer la connexion par ce biais au lieu de la démarrer via le terminal.
2. Télécharger le fichier de configuration
- Ouvrir le VPN Portal de Sophos Firewall dans le navigateur.
- Se connecter avec l’utilisateur VPN.
- Sous la sélection de configuration, choisir Linux.
- Télécharger le fichier
.ovpnet le conserver en sécurité.
3. Démarrer la connexion via le terminal
sudo openvpn --config sophos-vpn.ovpn
Après le démarrage, OpenVPN demande, selon la configuration, le nom d’utilisateur et le mot de passe, puis le cas échéant un code de vérification MFA. La connexion reste établie tant que le processus tourne. Si la fenêtre du terminal est fermée, le tunnel est également coupé.
Pour un fonctionnement plus durable sans terminal ouvert, OpenVPN peut être configuré comme service systemd, ou la connexion peut être gérée via NetworkManager.
4. Importer la connexion via NetworkManager (optionnel)
- Ouvrir les paramètres réseau.
- Ajouter une nouvelle connexion VPN et choisir Importer depuis un fichier.
- Sélectionner le fichier
.ovpntéléchargé. - Enregistrer le nom d’utilisateur si souhaité ; ne pas conserver le mot de passe durablement en clair si MFA est actif.
- Démarrer la connexion via l’interface graphique et saisir les identifiants ou le code MFA.
Cette variante est plus pratique au quotidien, car elle peut être activée et désactivée comme n’importe quelle autre connexion réseau, sans devoir garder un terminal ouvert.
IPsec avec NetworkManager-strongSwan (alternative)
Si IPsec doit être utilisé à la place de SSL VPN, le plugin NetworkManager-strongSwan est la voie courante sous Linux. Cette variante est moins standardisée sous Linux que la voie OpenVPN et devrait surtout être envisagée pour les scénarios de Remote Access IKEv2.
1. Installer le plugin
sudo apt install network-manager-strongswan
Le nom exact du paquet peut varier selon la distribution.
2. Vérifier le type de connexion sur le firewall
Le plugin strongSwan pour NetworkManager prend en charge IKEv2. Sur le firewall, le profil IPsec Remote Access doit être configuré en conséquence sur IKEv2, et non sur l’ancien IKEv1. Pour l’authentification, le plugin prend en charge aussi bien les méthodes basées sur certificat que l’EAP, par exemple nom d’utilisateur et mot de passe. Avec une authentification par clé prépartagée, le plugin exige un secret suffisamment fort ; les PSK courts ou simples devraient en principe être évités.
3. Créer la connexion
- Ouvrir les paramètres réseau.
- Ajouter une nouvelle connexion VPN de type IPsec/IKEv2 (strongswan).
- Saisir l’adresse de la passerelle de Sophos Firewall.
- Choisir la méthode d’authentification adaptée à la configuration du firewall : certificat ou nom d’utilisateur/mot de passe (EAP).
- En cas d’authentification basée sur certificat, déposer le certificat serveur ou la CA utilisée par le firewall.
- Enregistrer la connexion et la tester.
Comme cette voie dépend davantage de la distribution, de la version du plugin et de la configuration IPsec exacte sur le firewall, elle est plus sujette aux erreurs que la voie OpenVPN. Pour la plupart des environnements, le SSL VPN via OpenVPN est donc la première approche la plus robuste pour les clients Linux.
Vérifier après la mise en place
- Le statut de connexion dans OpenVPN ou NetworkManager affiche une session active.
- Les noms DNS internes se résolvent via le tunnel VPN.
- Une destination interne autorisée est joignable, une destination non autorisée reste bloquée.
- Dans le Log Viewer du firewall apparaît du trafic depuis la zone
VPNavec la règle firewall attendue. - En cas de MFA : le code de vérification est correctement demandé à chaque nouvelle connexion.
- Après un redémarrage du client Linux, la connexion est soit rétablie proprement, soit démarrée manuellement de manière consciente, selon la façon dont elle a été configurée.
Si la connexion est établie mais qu’aucun trafic ne passe, Tester une règle firewall avec Log Viewer, Policy Test et Packet Capture est utile.
Erreurs typiques
- Recherche d’un tutoriel tiers « Sophos Connect pour Linux » : ce client n’existe officiellement pas. Utiliser à la place OpenVPN ou NetworkManager-strongSwan.
- Fenêtre de terminal fermée et connexion perdue : avec un appel direct
openvpn --config, la fermeture du terminal coupe le tunnel. Pour un fonctionnement durable, utiliser l’import NetworkManager ou un service systemd. - Ancien fichier
.ovpnréutilisé après une modification du firewall : après des modifications de la passerelle, du certificat, du port du VPN Portal ou de l’authentification, le fichier de configuration doit être retéléchargé. - IKEv1 configuré sur le firewall au lieu d’IKEv2 : le plugin NetworkManager-strongSwan ne prend en charge que IKEv2. Vérifier et adapter si nécessaire le profil côté firewall.
- Clé prépartagée trop courte : les versions récentes du plugin imposent une longueur minimale de PSK. Un secret trop court entraîne une erreur de connexion, pas une connexion peu sûre mais fonctionnelle.
- Mauvais certificat ou mauvaise CA déposée : avec l’authentification IPsec basée sur certificat, il faut déposer exactement la CA également utilisée par le firewall. Un certificat légèrement différent ou expiré entraîne une rupture de connexion sans message d’erreur explicite dans le client.
- Code MFA mal associé : avec OpenVPN et MFA, le code de vérification doit être saisi dans le bon champ et au bon moment. En cas de doute, comparer l’ordre de connexion avec un client Windows ou macOS fonctionnel.
FAQ
Existe-t-il un client Sophos Connect officiel pour Linux ?
Quelle voie est la plus simple sous Linux : SSL VPN ou IPsec ?
Pourquoi la connexion VPN se coupe-t-elle quand je ferme le terminal ?
sudo openvpn --config, la connexion s’exécute dans le processus au premier plan du terminal. Pour un fonctionnement indépendant de la session de terminal, la connexion devrait être importée via NetworkManager ou configurée comme service.