Vai al contenuto
Avanet

Configurare Sophos Connect su Sophos Firewall

Sophos Connect è il client standard per il Remote Access con Sophos Firewall in molti ambienti. La qualità reale della soluzione non si decide però solo su Windows o macOS, ma sulla firewall: autorizzazioni degli utenti, pool IP, DNS, autenticazione, MFA, regole firewall e successiva distribuzione dei profili devono essere coerenti.

Questo articolo descrive la pianificazione e la configurazione lato firewall per Sophos Connect, soprattutto per IPsec Remote Access e la distribuzione dei profili. Per SSL VPN, la vera Remote Access policy è descritta nell’articolo Configurare Sophos Firewall SSL VPN Remote Access. Per la scelta di base tra IPsec, SSL VPN, client mobili e ZTNA, è utile partire da Sophos Connect o SSL VPN: quale soluzione Remote Access è adatta?.

Quale articolo è adatto?

A seconda dell’attività, conviene un punto di partenza diverso:

Questa separazione è importante perché Sophos Connect tocca più aspetti: configurazione IPsec, configurazione SSL VPN, VPN Portal, provisioning, autenticazione, versione client e regole firewall.

Requisiti

  • Sophos Firewall con versione SFOS supportata
  • accesso amministrativo all’interfaccia WebAdmin
  • utenti o gruppi definiti per Remote Access
  • intervallo di indirizzi IP libero per i client VPN
  • server DNS interni, se devono essere risolti nomi interni
  • concetto MFA per Remote Access
  • reti e servizi di destinazione chiariti, che devono essere raggiungibili via VPN
  • procedura chiara per distribuzione dei profili, modifiche ai profili e aggiornamenti client

Se la firewall deve essere aggiornata a SFOS 22.0 MR1 o più recente, occorre prima verificare se è ancora presente Legacy Remote Access IPsec. Questa vecchia configurazione può bloccare l’upgrade. La procedura è descritta in Migrare Legacy Remote Access IPsec prima di SFOS 22 MR1.

Nelle versioni SFOS attuali, la configurazione IPsec Remote Access si trova in Remote access VPN > IPsec. Nelle interfacce più vecchie o nelle vecchie guide si trovano ancora percorsi come VPN > Sophos Connect Client. Screenshot esistenti e ambienti cliente meno recenti possono quindi avere denominazioni diverse.

Pianificare prima della configurazione

Prima dell’attivazione conviene documentare brevemente come verrà gestito il Remote Access in seguito. Questo evita errori tipici come pool IP sovrapposti, regole firewall troppo ampie o profili non ridistribuiti dopo una modifica.

Domande importanti di pianificazione:

  • Utenti: Utenti locali, gruppo AD, RADIUS o altra autenticazione
  • MFA: OTP/MFA attivo, testato e documentato per i processi helpdesk
  • Pool IP: pool dedicato senza sovrapposizioni con LAN, WLAN, VLAN, Site-to-Site VPN o reti domestiche
  • DNS: server DNS interni e search domain, se vengono usati FQDN interni
  • Accesso: autorizzare solo server, reti e servizi necessari
  • Distribuzione client: .scx, .tgb, .ovpn, .pro, distribuzione software, stato versione e percorso di fallback
  • Esercizio: Log Viewer, processo di supporto, modifiche ai profili e uscite

Per le basi MFA, vedere Configurare Sophos Firewall MFA. Se Remote Access passerà in seguito tramite Microsoft Entra ID SSO, RADIUS o AD, anche il percorso di autenticazione deve essere testato separatamente.

Tipi di profilo e distribuzione

Prima della configurazione deve essere chiaro quale file finirà su quale client. Questo evita molti casi di supporto.

  • .scx: Sophos Connect per IPsec Remote Access contiene anche impostazioni avanzate di Sophos Connect
  • .tgb: configurazione IPsec per client più vecchi o di terze parti non contiene impostazioni avanzate di Sophos Connect
  • .ovpn: SSL VPN per Sophos Connect o client compatibili OpenVPN proviene dalla configurazione SSL VPN o dal VPN Portal
  • .pro: file di provisioning per importazione automatica carica le configurazioni tramite VPN Portal dopo login riuscito

Per nuovi rollout Sophos Connect IPsec, .scx è di solito lo standard migliore perché contiene le impostazioni avanzate della firewall. .tgb dovrebbe essere usato solo consapevolmente quando lo richiede un client di terze parti o un vecchio processo.

Il provisioning può semplificare la distribuzione, ma aumenta la dipendenza dal VPN Portal. Se gli utenti devono usare il file di provisioning da Internet, il VPN Portal deve essere raggiungibile dalla zona necessaria. Questo va gestito in Administration > Device access e indurito consapevolmente nella Local Service ACL, perché un portale raggiungibile da WAN crea superficie di attacco aggiuntiva. Per l’hardening, vedere Device Access e Local Service ACL su Sophos Firewall.

Attivare Sophos Connect

Nell’interfaccia WebAdmin aprire Remote access VPN > IPsec. Nelle interfacce più vecchie il percorso può essere ancora VPN > Sophos Connect Client. La rappresentazione esatta può variare leggermente in base alla versione SFOS, ma le decisioni fondamentali restano simili.

Configurazione WebAdmin del Sophos Connect Client

1. Attivare Connect Client

Attivare IPsec Remote Access. Solo dopo impostare gli altri parametri e non distribuire subito in produzione.

2. Scegliere l’interfaccia esterna

Come interface si sceglie normalmente l’interfaccia WAN attraverso cui le connessioni Remote Access raggiungono la firewall. Con più collegamenti WAN, decidere consapevolmente quale collegamento è stabile per VPN, documentato e raggiungibile da Internet.

Da verificare:

  • IP pubblico o DynDNS/FQDN corretto presente
  • port forwarding e router a monte coerenti
  • comportamento WAN failover noto
  • Device Access e ACL di servizio locali consentono solo i servizi necessari
  • VPN Portal raggiungibile solo dove serve davvero per download o provisioning

Remote Access è un punto di ingresso raggiungibile pubblicamente. La sola funzionalità quindi non basta; accesso, MFA e logging devono essere considerati.

Per l’hardening dei servizi firewall raggiungibili, vedere Device Access e Local Service ACL su Sophos Firewall.

3. Scegliere l’autenticazione

Per IPsec Remote Access sono disponibili diversi modelli di autenticazione a seconda della versione SFOS e della configurazione. Preshared Key e certificato sono spesso opzioni rilevanti.

Inquadramento pratico:

  • Preshared Key è rapida da configurare, ma deve essere forte, protetta e ruotata in caso di sospetto.
  • Certificato è più pulito per ambienti controllati, ma richiede gestione dei certificati e processi chiari.
  • MFA non sostituisce né PSK né certificato, ma protegge in aggiunta il login utente.

Se la Preshared Key è stata distribuita in più profili, cambiarla è più impegnativo dal punto di vista operativo. La chiave quindi non dovrebbe essere trattata come un valore usa e getta.

Per i certificati va inoltre verificato se tipo di certificato, durata, chiavi private e client di destinazione combaciano. Per IPsec Remote Access sono particolarmente rilevanti i certificati RSA. Le modifiche ai certificati sono sempre anche un tema di profilo e rollout.

4. Verificare Local ID e Remote ID

Local ID e Remote ID sono opzionali, ma possono essere importanti con più tunnel o peer particolari. Se impostati, devono corrispondere al profilo usato e alla configurazione client.

Valori tipici:

  • nome DNS
  • indirizzo IP
  • email
  • certificato

In setup semplici questi campi spesso restano vuoti. Se in seguito compaiono errori come no IKE config found o problemi di proposal/ID, questa area deve rientrare nella verifica. Per un’analisi più approfondita, Troubleshooting Sophos Firewall IPsec VPN è l’articolo successivo più adatto.

5. Assegnare utenti e gruppi

Selezionare solo gli utenti o i gruppi che hanno davvero bisogno di Remote Access. Negli ambienti produttivi, un gruppo VPN dedicato è di solito meglio di un gruppo standard ampio.

Da verificare:

  • Il gruppo contiene solo utenti autorizzati.
  • Gli utenti usciti vengono rimossi.
  • MFA è attivo e testato per questi utenti.
  • L’helpdesk sa come bloccare, sbloccare o riprovisionare gli utenti.

I guest users non appartengono a Remote Access. Per ambienti produttivi, un gruppo VPN dedicato è meglio di un gruppo standard ampio del servizio directory.

Configurare i dati client

6. Assegnare i nomi

Il nome della connessione deve essere comprensibile per utenti e supporto. Nomi come homeoffice, remote-access-ipsec o il nome di una sede sono più utili di abbreviazioni interne.

Se vengono distribuiti più profili, la denominazione deve restare coerente. Questo riduce confusioni nel Sophos Connect Client.

7. Definire il pool IP

La firewall assegna ai client VPN un indirizzo dal pool definito. Questo intervallo non deve sovrapporsi a reti interne, altri pool VPN, reti Site-to-Site o intervalli domestici comuni.

Buona pratica:

  • intervallo separato solo per Remote Access
  • dimensione sufficiente per utenti simultanei
  • nessuna sovrapposizione con 192.168.0.0/24, 192.168.1.0/24 o intervalli domestici frequenti, se evitabile
  • documentazione chiara in IPAM o nella documentazione di rete

Se il pool viene modificato in seguito, profili e test devono essere ricontrollati.

Per IPsec Remote Access, il pool dovrebbe almeno essere pianificato in modo pulito come subnet dedicata. Inoltre non deve sovrapporsi ad altri pool Remote Access come SSL VPN, L2TP o PPTP.

8. Inserire i server DNS

Se gli utenti devono raggiungere sistemi interni tramite nome, devono essere distribuiti server DNS adatti ed eventualmente search domain. In molti ambienti si tratta di un Domain Controller interno o di un server DNS dedicato.

Resolver esterni come Cloudflare, Google, Quad9 o OpenDNS non risolvono zone interne. Hanno senso solo se tramite il tunnel VPN non servono nomi interni o se il DNS viene gestito intenzionalmente in altro modo.

Esempi di resolver esterni:

  • Cloudflare: 1.1.1.1 e 1.0.0.1
  • Google: 8.8.8.8 e 8.8.4.4
  • Quad9: 9.9.9.9 e 149.112.112.112
  • OpenDNS: 208.67.222.222 e 208.67.220.220

Per Remote Access produttivo, di solito è più importante che gli FQDN interni funzionino in modo affidabile. Se il DNS non è pianificato in modo pulito, il tunnel appare “connesso” agli utenti anche se le applicazioni non sono utilizzabili.

Verificare le impostazioni avanzate

9. Impostare Session Timeout

Un Session Timeout impedisce che connessioni VPN non più utilizzate restino aperte senza limite. Valori troppo aggressivi possono però generare casi di supporto, perché gli utenti devono riconnettersi dopo brevi interruzioni.

È sensato un valore adatto al modello di lavoro:

  • timeout brevi per accessi amministrativi sporadici
  • timeout più lunghi per sessioni di lavoro stabili
  • comunicazione chiara se gli utenti devono riconnettersi dopo inattività

Se si usa OTP/MFA, va testato anche l’impatto sui reconnect.

Se la firewall disconnette un client idle, il Sophos Connect Client può ristabilire la connessione in background. Se non riesce, l’utente deve disconnettere consapevolmente la connessione nel client e riconnettersi. Questo comportamento deve essere noto nel processo helpdesk.

10. Impostare consapevolmente gli Advanced settings

Le impostazioni avanzate determinano il comportamento quotidiano del client. Con IPsec Remote Access vengono incluse nel file .scx, non nel file .tgb.

Punti importanti:

  • Use as default gateway: Tutto il traffico Internet deve passare dalla firewall o solo le risorse interne?
  • Permitted network resources: Quali reti interne possono essere raggiunte tramite il tunnel?
  • Send Security Heartbeat through tunnel: Si usa Sophos Endpoint/Synchronized Security e Heartbeat deve passare via VPN?
  • Allow users to save username and password: Il login salvato è compatibile con il concetto MFA e di sicurezza?
  • Prompt users for 2FA token: OTP deve apparire come campo separato o essere combinato nel campo password?
  • Run AD logon script after connecting: I logon script, come le mappature unità, sono davvero necessari e testati?
  • Connect tunnel automatically: Il tunnel deve essere stabilito automaticamente al login utente?

Con Full Tunnel tramite Use as default gateway serve inoltre una regola firewall da VPN a WAN e un disegno NAT/Security Policy consapevole. Con Split Tunnel, le risorse interne consentite devono essere documentate in modo pulito.

Se Prompt users for 2FA token è attivo, l’uso è spesso più chiaro per gli utenti. Allo stesso tempo bisogna verificare se strumenti o automazioni utilizzati funzionano con questa impostazione.

11. Salvare ed esportare la configurazione

Dopo il salvataggio viene esportata la configurazione di connessione. A seconda del client e della versione SFOS possono essere rilevanti file .scx, .tgb o di provisioning. Il file non deve essere archiviato apertamente o inoltrato a persone non autorizzate.

Dopo modifiche a gruppo utenti, pool, DNS, profilo, gateway, porta, certificato o Advanced Settings, i client interessati devono ricevere la configurazione aggiornata. I vecchi profili sono una causa frequente di problemi VPN difficili da ricostruire.

Se si usa provisioning, occorre inoltre verificare se il client ricarica automaticamente le modifiche o se gli utenti devono aggiornare la policy nel Sophos Connect Client oppure effettuare di nuovo il login. Modifiche a porta SSL VPN, gateway, certificato server o protocollo sono casi tipici in cui può servire un nuovo login o un passaggio di update consapevole.

Configurare le regole firewall

Sophos Connect stabilisce solo il tunnel. L’accesso ai sistemi interni continua a essere gestito tramite regole firewall. Senza regole adatte, la connessione può essere verde ma l’accesso produttivo non funzionare.

Per l’accesso dei client VPN ai sistemi interni si crea tipicamente una regola da VPN a LAN o verso una zona di destinazione specifica.

Sophos Connect Client - aggiungere regola firewall per VPN/LAN
  • Source Zone: VPN
  • Destination Zone: LAN

Meglio di un’autorizzazione ampia a tutta la LAN è di solito una regola sulle reti o sui servizi realmente necessari. Il logging dovrebbe essere attivato nella fase di introduzione, così gli errori sono visibili nel Log Viewer.

Se il client lavora come Full Tunnel e anche il traffico Internet deve passare dalla firewall, serve inoltre una regola da VPN a WAN e un disegno NAT/Security Policy consapevole.

Sophos Connect Client - aggiungere regola firewall per VPN/WAN
  • Source Zone: VPN
  • Destination Zone: WAN

Per la ricerca errori nelle regole è utile Testare regole firewall con Log Viewer, Policy Test e Packet Capture.

Le regole firewall non dovrebbero solo “funzionare”, ma essere verificabili. Per la fase di introduzione è utile il logging sulle regole Remote Access. In seguito si può decidere quali regole loggare in modo permanente e quali eventi inviare anche a Sophos Central o Syslog.

Testare dopo il rollout

Uno stato Sophos Connect verde non basta come test di accettazione. Almeno questi punti devono essere verificati con un utente di test:

  • Il client importa la configurazione senza errori.
  • Il login funziona con password e MFA.
  • Il client riceve un indirizzo dal pool VPN atteso.
  • I nomi DNS interni vengono risolti correttamente.
  • I sistemi interni centrali sono raggiungibili.
  • Log Viewer mostra la regola firewall attesa.
  • Split Tunnel o Full Tunnel si comportano come previsto.
  • Il reconnect dopo un cambio rete funziona.
  • I vecchi profili non sono stati riutilizzati.
  • Con Full Tunnel, l’accesso Internet via firewall funziona come previsto.
  • Con Split Tunnel, le destinazioni non autorizzate restano bloccate.
  • Log Viewer mostra hit sulle regole attese.
  • Con provisioning, le modifiche ai profili vengono aggiornate in modo tracciabile.

Dopo questo si possono usare le guide di installazione per Windows e macOS.

Checklist operativa

Dopo il rollout tecnico, l’esercizio non dovrebbe restare indefinito:

  • Gruppo VPN responsabile documentato.
  • Il processo di uscita rimuove gli utenti dai gruppi Remote Access.
  • Il processo di reset MFA è noto.
  • Versione del profilo o data di modifica documentata.
  • L’helpdesk sa quali profili sono attuali.
  • Log Viewer e log di servizio rilevanti sono noti.
  • Modifiche a pool IP, DNS, gateway, certificato e Advanced Settings attivano una verifica del profilo.
  • Prima degli upgrade SFOS vengono verificati Legacy Remote Access IPsec e profili client.

Troubleshooting

La connessione viene stabilita, ma non passa traffico

La causa spesso non è il tunnel, ma regole firewall, NAT, routing, DNS o il percorso di ritorno. Prima verificare nel Log Viewer se il traffico dalla zona VPN colpisce la regola attesa. Poi restringere l’analisi con Packet Capture o Policy Test.

L’utente non riesce ad accedere

Verificare gruppo utenti, server di autenticazione, MFA, utente bloccato e stato della password. Se sono coinvolti AD, RADIUS o Microsoft Entra ID SSO, l’autenticazione deve essere testata separatamente dal VPN.

Il client usa una vecchia configurazione

Dopo modifiche a pool IP, DNS, gruppo utenti, profilo, gateway, certificato o Advanced Settings, la configurazione deve essere ridistribuita o reimportata. Vecchi file .tgb, .scx, .ovpn o di provisioning non dovrebbero restare in circolazione in parallelo.

Il provisioning non funziona

Prima verificare se il VPN Portal è raggiungibile dalla zona necessaria e se Device Access è stato impostato consapevolmente. Poi controllare valore gateway, porta del portale, certificato, login utente, MFA e, con Entra SSO, l’assegnazione in Authentication > Services.

SSO funziona solo in parte

Con Microsoft Entra ID SSO, VPN Portal, IPsec e SSL VPN devono corrispondere al server Entra ID corretto in base al workflow. Con provisioning, il valore gateway deve corrispondere alla Redirect URI della configurazione Entra. Se sono interessati solo singoli utenti, verificare anche UPN, indirizzo email, mapping dei gruppi e gruppi utenti importati.

La connessione è attiva, ma i trasferimenti grandi si bloccano

Se login, DNS e piccoli accessi funzionano, ma trasferimenti file più grandi o determinate applicazioni si bloccano, va verificato MTU/MSS. Il quadro spesso corrisponde a frammentazione, PPPoE, connessioni tunnelizzate o percorso asimmetrico. La procedura è descritta in Verificare MTU e MSS su Sophos Firewall per problemi VPN.

IPsec si interrompe in reti esterne

IPsec può essere bloccato in hotel, reti Wi-Fi guest, reti mobili o reti aziendali con filtri severi. In questi casi occorre verificare se SSL VPN Remote Access, ZTNA o un altro design Remote Access sia più adatto.

Full Tunnel non ha accesso Internet

Se Use as default gateway è attivo, il traffico da VPN a WAN deve essere consentito e gestito con NAT adeguato. Inoltre Web Protection, Application Control, DNS e logging vanno pianificati consapevolmente come per altre reti client.

FAQ

Sophos Connect è automaticamente sicuro quando il tunnel funziona?

No. Il tunnel è solo una parte della soluzione. MFA, gruppi utenti puliti, regole firewall limitate, logging e manutenzione regolare dei profili restano decisivi.

Bisogna dare agli utenti VPN accesso a tutta la LAN?

Solo se è davvero necessario. Nella maggior parte degli ambienti sono migliori regole più strette verso server, reti o servizi concreti.

La configurazione client deve essere ridistribuita dopo le modifiche?

Sì, se cambiano impostazioni rilevanti per il client. Tra queste ci sono pool IP, DNS, profilo, gateway, certificati, Advanced Settings o determinati parametri Remote Access.

Conviene usare .scx o .tgb?

Per Sophos Connect, .scx è di solito migliore perché contiene anche impostazioni avanzate. .tgb è più rilevante per client di terze parti o processi più vecchi.

Il provisioning è più sicuro di un file di configurazione?

Il provisioning semplifica la distribuzione, ma non è automaticamente più sicuro. Il VPN Portal deve essere raggiungibile e indurito, MFA deve applicarsi e le modifiche ai profili devono comunque essere testate.

Sophos Connect ha bisogno di proprie regole firewall?

Sì. Il solo tunnel non consente ancora accesso produttivo. Il traffico dalla zona VPN richiede regole firewall adatte verso le zone di destinazione e, con Full Tunnel, regole aggiuntive verso WAN.

Che cosa è particolarmente importante prima di SFOS 22 MR1?

Prima di SFOS 22.0 MR1 o più recente, Legacy Remote Access IPsec deve essere escluso o migrato. Questa eredità può bloccare l’upgrade.