Aller au contenu
Avanet

Configurer Sophos SSL VPN sur Android

Sophos Firewall

Sophos Connect ne prend pas directement en charge Android pour IPsec ou SSL VPN. Si un smartphone ou une tablette Android doit être connecté via Sophos Firewall Remote Access, un client compatible OpenVPN est nécessaire. Dans de nombreux environnements, OpenVPN Connect est le standard évident, car Sophos Firewall fournit une configuration .ovpn pour les clients mobiles.

Cet article décrit le processus pratique pour Sophos SSL VPN sur Android : installer l’application, obtenir la configuration .ovpn, importer le profil, tester la connexion et identifier les erreurs courantes. Pour la décision fondamentale entre Sophos Connect, SSL VPN, IPsec, clients mobiles et ZTNA, consultez d’abord Sophos Connect ou SSL VPN : Quelle solution d’accès à distance convient ?.

Quand SSL VPN sur Android est pertinent

SSL VPN sur Android est pertinent lorsque les utilisateurs mobiles doivent accéder occasionnellement à des systèmes internes et qu’un profil VPN classique suffit.

Exemples typiques :

  • Accès à des applications Web internes
  • Accès administrateur à quelques systèmes via une tablette
  • Accès à des outils internes via des applications définies
  • Accès temporaire sans client portable géré
  • Solution de transition lorsque ZTNA ou App-Proxy n’est pas encore disponible

Pour un accès permanent à de nombreux systèmes internes, un appareil mobile n’est souvent pas la meilleure plateforme cible. Il convient alors d’examiner si un client Windows ou macOS géré avec Sophos Connect, un accès ZTNA plus étroit ou un autre design d’accès à distance est plus approprié.

Comparaison avec d’autres clients

Cette instruction s’applique à Sophos Firewall avec SFOS et aux appareils Android. Selon la plateforme ou la situation de départ, une autre approche peut être plus appropriée :

SituationApproche appropriée
Configurer SSL VPN sur AndroidCet article
Configurer SSL VPN avec Sophos Connect sur WindowsConfigurer Sophos SSL VPN avec Sophos Connect sur Windows
Configurer SSL VPN avec Sophos Connect sur macOSConfigurer Sophos SSL VPN avec Sophos Connect sur macOS
Configurer SSL VPN sur iPhone et iPadConfigurer Sophos SSL VPN sur iPhone et iPad
Installer Sophos Connect sur WindowsInstaller Sophos Connect Client sur Windows
Installer Sophos Connect sur macOSInstaller Sophos Connect Client sur macOS

Il est important de faire la distinction : Sophos Connect n’est pas le client SSL VPN direct pour Android. Si les appareils mobiles doivent être pris en charge, il doit être clairement défini en interne quel client compatible OpenVPN est utilisé, d’où proviennent les profils et qui est responsable en cas de changement d’appareil.

Prérequis

Avant la configuration, les points suivants doivent être clarifiés :

  • Sophos Firewall avec configuration d’accès à distance SSL VPN configurée
  • Utilisateur avec autorisation pour SSL VPN
  • Accès au portail VPN ou fichier .ovpn fourni administrativement
  • Client compatible OpenVPN sur Android
  • MFA/OTP configuré, si l’accès à distance est protégé par celui-ci
  • Certificat valide pour le portail VPN et l’accès au pare-feu, si possible
  • Règles de pare-feu pour le trafic provenant de la zone VPN
  • Conception de tunnel fractionné ou de tunnel complet clarifiée
  • Processus de support pour le changement d’appareil, les appareils perdus et les anciens profils

Avant une mise à niveau vers SFOS 22.0 MR1 ou plus récent, il convient également de vérifier si des configurations d’accès à distance IPsec anciennes sont encore présentes. SSL VPN n’est pas directement affecté, mais de nombreux environnements réévaluent l’accès à distance à ce moment-là. Le processus est décrit dans Migrer l’accès à distance IPsec hérité avant SFOS 22 MR1.

Préparer le pare-feu et le portail VPN

La configuration Android n’est que la dernière étape. Auparavant, la configuration du pare-feu doit être correcte.

Sur le Sophos Firewall, les points suivants doivent être vérifiés :

  1. Ouvrir Remote access VPN.
  2. Configurer SSL VPN pour les utilisateurs ou groupes nécessaires.
  3. Utiliser un pool d’IP VPN sans chevauchement avec LAN, WLAN, VLANs, VPN site-à-site ou réseaux domestiques typiques.
  4. Définir les serveurs DNS et suffixes de domaine de manière appropriée si des noms internes sont utilisés.
  5. Activer MFA pour l’accès à distance et tester avec un utilisateur de test.
  6. Créer une règle de pare-feu de VPN vers la zone cible nécessaire.
  7. Activer la journalisation pour la phase d’introduction.
  8. Libérer le portail VPN via Administration > Device access aussi largement que nécessaire.

Le processus complet côté pare-feu est décrit dans Configurer l’accès à distance SSL VPN sur Sophos Firewall.

Le portail VPN est un point d’entrée accessible publiquement. S’il doit être accessible depuis Internet, le certificat, MFA, la limitation par pays/source et la vérification des journaux doivent être planifiés consciemment. Pour le renforcement, consultez Accès aux appareils et ACL de service local sur Sophos Firewall.

1. Installer OpenVPN Connect

Installer OpenVPN Connect depuis Google Play : OpenVPN Connect.

Si un autre client compatible OpenVPN est standardisé dans l’environnement, cette décision doit être documentée. Cela devient problématique lorsque les utilisateurs utilisent simultanément différentes applications VPN, des anciens profils et des instructions différentes.

Pour le support et l’exploitation, il convient de définir :

  • quel client est pris en charge
  • quelle version de l’application est attendue au minimum
  • si les utilisateurs peuvent installer l’application eux-mêmes
  • comment les profils sont distribués et retirés
  • comment les appareils perdus ou remplacés sont traités

2. Ouvrir le portail VPN

Sur l’appareil Android, ouvrir le portail VPN du Sophos Firewall dans le navigateur et se connecter avec l’utilisateur VPN. Dans la plupart des environnements, le navigateur Android normal ou Chrome est suffisant. Il est important que le fichier .ovpn téléchargé puisse ensuite être transmis à OpenVPN Connect.

Si le portail VPN est ouvert avec un certificat invalide ou non fiable, la cause doit être corrigée. Une exception de navigateur permanente n’est pas une bonne norme d’exploitation pour l’accès à distance en production.

Avec MFA, le processus doit être testé avec un véritable utilisateur de test. Il est particulièrement important de savoir si le second facteur est demandé dans un champ séparé ou si le mot de passe et le code OTP doivent être saisis dans le format attendu. Les bases sont décrites dans Activer MFA pour Sophos Firewall WebAdmin, portail VPN et accès à distance.

3. Télécharger la configuration OVPN

Dans le portail VPN, passer à la section SSL VPN ou VPN et télécharger la configuration pour Android/iOS. Selon la version SFOS et l’affichage du portail, le lien s’appelle généralement Download configuration for Android/iOS.

Le fichier téléchargé a normalement l’extension .ovpn. Ce fichier est spécifique à l’utilisateur et ne doit pas être partagé avec d’autres utilisateurs.

Important :

  • Le fichier doit provenir de la configuration actuelle du pare-feu.
  • Les anciens fichiers provenant d’archives d’e-mails, de discussions ou de dossiers de téléchargement ne doivent pas être réutilisés.
  • Après des modifications de la politique SSL VPN, du certificat, de la passerelle, du DNS ou du groupe d’utilisateurs, le profil doit être rechargé.
  • Si un utilisateur quitte l’entreprise ou si un appareil est perdu, l’accès utilisateur, l’appartenance au groupe et la distribution du profil doivent être vérifiés.

4. Importer le profil dans OpenVPN Connect

Si Android n’offre pas automatiquement l’importation, le fichier .ovpn peut être ouvert via la fonction de partage ou via l’importation de fichier dans OpenVPN Connect. OpenVPN Connect affichera ensuite le nouveau profil et demandera lors de la première configuration l’autorisation de créer une connexion VPN.

Cette confirmation Android est nécessaire pour que l’application puisse créer une connexion VPN. Si la confirmation est refusée, le profil peut apparaître dans l’application, mais la connexion ne peut pas être établie correctement.

En cas de plusieurs profils, le nom doit être clair, par exemple avec le lieu, l’environnement ou le nom de l’entreprise. Plusieurs profils presque identiques sont une cause fréquente de support.

5. Établir la connexion VPN

Activer le profil importé et se connecter avec l’utilisateur VPN. Si MFA ou OTP est actif, le second facteur doit être confirmé selon la configuration du pare-feu.

Après une connexion réussie, l’application OpenVPN ne doit pas seulement indiquer qu’elle est connectée. Il est crucial de vérifier si les cibles internes prévues sont accessibles et si le trafic sur le pare-feu correspond à la règle correcte.

Vérifications après la configuration

Au minimum, ces points doivent être vérifiés avec un utilisateur de test :

  • OpenVPN Connect affiche la connexion comme connectée.
  • Android affiche le statut VPN dans la barre d’état ou dans les paramètres réseau.
  • L’utilisateur reçoit une adresse IP du pool SSL VPN attendu.
  • Les noms DNS internes sont résolus correctement.
  • Les serveurs, applications Web ou services nécessaires sont accessibles.
  • Le comportement Internet correspond à la conception : tunnel fractionné ou tunnel complet.
  • Dans le Log Viewer, la règle de pare-feu attendue pour le trafic de la zone VPN est visible.
  • MFA est demandé comme prévu.
  • Tester la connexion après le mode avion, le changement de Wi-Fi ou de réseau mobile.
  • Les anciens profils ont été supprimés ou clairement marqués comme obsolètes.

Si la connexion est établie mais qu’aucun accès ne fonctionne, la cause se trouve souvent non pas sur le client mobile, mais dans les règles de pare-feu, DNS, routage ou NAT. Pour l’analyse, consultez Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture.

Distribution manuelle ou MDM ?

Pour quelques appareils Android, l’importation manuelle via le portail VPN, le dossier de téléchargement et OpenVPN Connect peut suffire. Dès que plusieurs utilisateurs, des smartphones gérés ou des changements d’appareils réguliers sont impliqués, la distribution des profils doit être planifiée consciemment. Sinon, les anciens fichiers .ovpn restent dans les téléchargements, les discussions, les e-mails ou les stockages cloud privés et sont réutilisés lors des cas de support ultérieurs.

VariantePertinent siPoints d’attention
Importation manuellepeu d’appareils, groupe pilote, utilisation occasionnelleinstructions claires, profil à jour, test MFA et suppression des anciens profils
Distribution via MDM ou gestion des terminauxappareils Android gérés, nombreux utilisateurs, modifications récurrentesdéploiement d’applications, version du profil, perte d’appareil, retrait des anciens profils et processus de support

L’important est le retrait. Si un appareil Android est remplacé, un utilisateur quitte ou une politique SSL VPN est modifiée, il ne suffit pas de fournir un nouveau profil. Les anciens profils, les appartenances aux groupes, les identifiants enregistrés et les copies de fichiers éventuellement présentes doivent également être vérifiés.

Exploitation et sécurité

Les profils VPN mobiles nécessitent des règles d’exploitation claires. Les appareils Android changent souvent entre Wi-Fi, réseau mobile, hotspots et portails captifs. De plus, les appareils mobiles se perdent plus facilement ou sont remplacés plus rapidement que les ordinateurs portables d’entreprise classiques.

Bonnes pratiques :

  • Mettre régulièrement à jour OpenVPN Connect.
  • Activer et tester MFA pour l’accès à distance.
  • Vérifier régulièrement les groupes VPN.
  • Limiter le portail VPN via Device Access et Local Service ACL autant que possible.
  • Garder les règles de pare-feu pour la zone VPN strictes et les journaliser.
  • Supprimer les anciens fichiers .ovpn et les profils obsolètes.
  • Prendre en compte les changements d’appareil et les appareils perdus dans le processus de support.
  • Envisager Syslog ou une évaluation centrale pour une conservation prolongée des journaux.

Pour les fichiers journaux et les journaux de service, Dépannage Sophos Firewall : Services et journaux est utile.

Erreurs typiques

Le fichier OVPN ne s’ouvre pas

Vérifiez d’abord si OpenVPN Connect est installé et si le fichier est bien au format .ovpn. Ensuite, téléchargez à nouveau le fichier depuis le portail VPN ou transmettez-le à OpenVPN Connect via la fonction de partage.

Si le fichier est distribué via MDM, e-mail ou partage de fichiers, il convient de vérifier si le fichier a été modifié, renommé ou bloqué en cours de route.

L’importation fonctionne, mais pas la connexion

Il est alors fréquent que l’autorisation Android pour la configuration VPN ne soit pas correctement accordée ou que le profil ne corresponde pas à la configuration actuelle du pare-feu. Supprimez le profil, obtenez à nouveau le fichier .ovpn actuel et importez-le à nouveau.

L’authentification échoue

Vérifiez l’utilisateur, le mot de passe, MFA, l’appartenance au groupe et le serveur d’authentification. Si AD, RADIUS ou Microsoft Entra ID SSO est impliqué, l’authentification doit être testée séparément du VPN. Un problème de connexion n’est pas automatiquement un problème OpenVPN.

La connexion est établie, mais les systèmes internes ne sont pas accessibles

Vérifiez DNS, règles de pare-feu, routage, NAT et retour. Dans le Log Viewer, le trafic de la zone VPN doit être visible. Si aucun journal n’apparaît, le trafic n’atteint probablement pas la règle attendue ou la journalisation est désactivée.

Pour certains systèmes internes, le problème ne vient souvent pas du VPN lui-même, mais d’une règle de pare-feu manquante, d’un nom DNS incorrect ou d’une route de retour dans le réseau cible.

Si de petits accès fonctionnent, mais que les transferts de fichiers plus importants ou certaines applications sont bloqués, MTU/MSS doit également être vérifié : Vérifier MTU et MSS de Sophos Firewall en cas de problèmes VPN.

Les noms internes ne sont pas résolus

Vérifiez les serveurs DNS et le domaine de recherche dans la configuration SSL VPN. Ensuite, testez si les systèmes internes sont accessibles par adresse IP. Si l’IP fonctionne mais pas le nom, la cause est probablement liée à DNS, pas à la connexion VPN elle-même.

La connexion se coupe lors du changement de réseau

Pour les appareils mobiles, les changements de Wi-Fi, de réseau mobile, les portails captifs et les mécanismes d’économie d’énergie sont des causes typiques. Testez avec un deuxième réseau et vérifiez si le comportement est reproductible.

Si les utilisateurs changent souvent de réseau, il convient de vérifier si l’application peut gérer de courtes interruptions VPN ou si un autre modèle d’accès est plus approprié.

Liste de contrôle

Avant le déploiement

  • Client OpenVPN pris en charge défini.
  • Groupe d’utilisateurs SSL VPN vérifié.
  • MFA pour l’accès à distance testé.
  • Portail VPN accessible avec un certificat valide.
  • Accès aux appareils et accès depuis Internet consciemment limité.
  • Règles de pare-feu pour la zone VPN créées et journalisées.
  • Tunnel fractionné ou tunnel complet documenté.
  • Distribution des profils et processus de changement d’appareil clarifiés.

Après l’importation

  • Profil visible dans OpenVPN Connect.
  • Autorisation VPN Android confirmée.
  • Connexion établie avec un utilisateur de test.
  • DNS, cibles internes et correspondance des règles de pare-feu vérifiés.
  • Wi-Fi, réseau mobile et changement de réseau testés.
  • Anciens profils supprimés.

En exploitation

  • Maintenir l’application OpenVPN et Android à jour.
  • Vérifier régulièrement les groupes d’utilisateurs.
  • Supprimer les anciens profils lors de départs ou de pertes d’appareils.
  • Vérifier les journaux VPN en cas de support.
  • En cas de problèmes mobiles récurrents, envisager ZTNA ou un accès basé sur une application.

FAQ

Sophos Connect prend-il en charge SSL VPN sur Android ?

Non. Sophos Connect ne prend pas directement en charge Android pour IPsec et SSL VPN. Un client compatible OpenVPN est utilisé sur Android.

OpenVPN Connect doit-il être utilisé ?

Pas nécessairement. OpenVPN Connect est cependant un standard courant pour les profils OpenVPN sur Android. Si un autre client est utilisé, il doit être clairement documenté et pris en charge en interne.

MFA fonctionne-t-il avec SSL VPN sur Android ?

Oui, si MFA est correctement configuré sur le Sophos Firewall pour l’accès à distance. Selon la configuration, le second facteur est traité lors de la connexion ou via la saisie du mot de passe.

SSL VPN sur Android est-il meilleur qu'IPsec ?

Pas systématiquement. SSL VPN est souvent pratique lorsque les profils OpenVPN sont déjà établis. Pour certains environnements, un autre design d’accès à distance avec IPsec, ZTNA ou un accès basé sur une application peut être plus approprié.

Pourquoi la connexion fonctionne-t-elle, mais pas l'application interne ?

Le tunnel n’est alors qu’une partie de la vérification. Souvent, il manque des règles de pare-feu, une résolution DNS, un routage ou des retours. Dans le Log Viewer, il convient de vérifier si le trafic de la zone VPN atteint la règle attendue.