Configurare Sophos Connect su Sophos Firewall
Sophos Connect è il client standard per il Remote Access con Sophos Firewall in molti ambienti. La qualità reale della soluzione non si decide però solo su Windows o macOS, ma sulla firewall: autorizzazioni degli utenti, pool IP, DNS, autenticazione, MFA, regole firewall e successiva distribuzione dei profili devono essere coerenti.
Questo articolo descrive la pianificazione e la configurazione lato firewall per Sophos Connect, soprattutto per IPsec Remote Access e la distribuzione dei profili. Per SSL VPN, la vera Remote Access policy è descritta nell’articolo Configurare Sophos Firewall SSL VPN Remote Access. Per la scelta di base tra IPsec, SSL VPN, client mobili e ZTNA, è utile partire da Sophos Connect o SSL VPN: quale soluzione Remote Access è adatta?.
Quale articolo è adatto?
A seconda dell’attività, conviene un punto di partenza diverso:
- Pianificare Sophos Connect lato firewall per IPsec: Questo articolo
- Configurare SSL VPN Remote Access sulla firewall: Configurare Sophos Firewall SSL VPN Remote Access
- Usare Microsoft Entra ID SSO per Sophos Connect: Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal
- Installare Sophos Connect su Windows o macOS: Windows o macOS
- Gestire versioni client e modifiche ai profili in esercizio: Verificare e aggiornare in sicurezza la versione del Sophos Connect Client
- Analizzare problemi di connessione nel tunnel: Troubleshooting Sophos Firewall IPsec VPN
Questa separazione è importante perché Sophos Connect tocca più aspetti: configurazione IPsec, configurazione SSL VPN, VPN Portal, provisioning, autenticazione, versione client e regole firewall.
Requisiti
- Sophos Firewall con versione SFOS supportata
- accesso amministrativo all’interfaccia WebAdmin
- utenti o gruppi definiti per Remote Access
- intervallo di indirizzi IP libero per i client VPN
- server DNS interni, se devono essere risolti nomi interni
- concetto MFA per Remote Access
- reti e servizi di destinazione chiariti, che devono essere raggiungibili via VPN
- procedura chiara per distribuzione dei profili, modifiche ai profili e aggiornamenti client
Se la firewall deve essere aggiornata a SFOS 22.0 MR1 o più recente, occorre prima verificare se è ancora presente Legacy Remote Access IPsec. Questa vecchia configurazione può bloccare l’upgrade. La procedura è descritta in Migrare Legacy Remote Access IPsec prima di SFOS 22 MR1.
Nelle versioni SFOS attuali, la configurazione IPsec Remote Access si trova in Remote access VPN > IPsec. Nelle interfacce più vecchie o nelle vecchie guide si trovano ancora percorsi come VPN > Sophos Connect Client. Screenshot esistenti e ambienti cliente meno recenti possono quindi avere denominazioni diverse.
Pianificare prima della configurazione
Prima dell’attivazione conviene documentare brevemente come verrà gestito il Remote Access in seguito. Questo evita errori tipici come pool IP sovrapposti, regole firewall troppo ampie o profili non ridistribuiti dopo una modifica.
Domande importanti di pianificazione:
- Utenti: Utenti locali, gruppo AD, RADIUS o altra autenticazione
- MFA: OTP/MFA attivo, testato e documentato per i processi helpdesk
- Pool IP: pool dedicato senza sovrapposizioni con LAN, WLAN, VLAN, Site-to-Site VPN o reti domestiche
- DNS: server DNS interni e search domain, se vengono usati FQDN interni
- Accesso: autorizzare solo server, reti e servizi necessari
- Distribuzione client:
.scx,.tgb,.ovpn,.pro, distribuzione software, stato versione e percorso di fallback - Esercizio: Log Viewer, processo di supporto, modifiche ai profili e uscite
Per le basi MFA, vedere Configurare Sophos Firewall MFA. Se Remote Access passerà in seguito tramite Microsoft Entra ID SSO, RADIUS o AD, anche il percorso di autenticazione deve essere testato separatamente.
Tipi di profilo e distribuzione
Prima della configurazione deve essere chiaro quale file finirà su quale client. Questo evita molti casi di supporto.
.scx: Sophos Connect per IPsec Remote Access contiene anche impostazioni avanzate di Sophos Connect.tgb: configurazione IPsec per client più vecchi o di terze parti non contiene impostazioni avanzate di Sophos Connect.ovpn: SSL VPN per Sophos Connect o client compatibili OpenVPN proviene dalla configurazione SSL VPN o dal VPN Portal.pro: file di provisioning per importazione automatica carica le configurazioni tramite VPN Portal dopo login riuscito
Per nuovi rollout Sophos Connect IPsec, .scx è di solito lo standard migliore perché contiene le impostazioni avanzate della firewall. .tgb dovrebbe essere usato solo consapevolmente quando lo richiede un client di terze parti o un vecchio processo.
Il provisioning può semplificare la distribuzione, ma aumenta la dipendenza dal VPN Portal. Se gli utenti devono usare il file di provisioning da Internet, il VPN Portal deve essere raggiungibile dalla zona necessaria. Questo va gestito in Administration > Device access e indurito consapevolmente nella Local Service ACL, perché un portale raggiungibile da WAN crea superficie di attacco aggiuntiva. Per l’hardening, vedere Device Access e Local Service ACL su Sophos Firewall.
Attivare Sophos Connect
Nell’interfaccia WebAdmin aprire Remote access VPN > IPsec. Nelle interfacce più vecchie il percorso può essere ancora VPN > Sophos Connect Client. La rappresentazione esatta può variare leggermente in base alla versione SFOS, ma le decisioni fondamentali restano simili.

1. Attivare Connect Client
Attivare IPsec Remote Access. Solo dopo impostare gli altri parametri e non distribuire subito in produzione.
2. Scegliere l’interfaccia esterna
Come interface si sceglie normalmente l’interfaccia WAN attraverso cui le connessioni Remote Access raggiungono la firewall. Con più collegamenti WAN, decidere consapevolmente quale collegamento è stabile per VPN, documentato e raggiungibile da Internet.
Da verificare:
- IP pubblico o DynDNS/FQDN corretto presente
- port forwarding e router a monte coerenti
- comportamento WAN failover noto
- Device Access e ACL di servizio locali consentono solo i servizi necessari
- VPN Portal raggiungibile solo dove serve davvero per download o provisioning
Remote Access è un punto di ingresso raggiungibile pubblicamente. La sola funzionalità quindi non basta; accesso, MFA e logging devono essere considerati.
Per l’hardening dei servizi firewall raggiungibili, vedere Device Access e Local Service ACL su Sophos Firewall.
3. Scegliere l’autenticazione
Per IPsec Remote Access sono disponibili diversi modelli di autenticazione a seconda della versione SFOS e della configurazione. Preshared Key e certificato sono spesso opzioni rilevanti.
Inquadramento pratico:
- Preshared Key è rapida da configurare, ma deve essere forte, protetta e ruotata in caso di sospetto.
- Certificato è più pulito per ambienti controllati, ma richiede gestione dei certificati e processi chiari.
- MFA non sostituisce né PSK né certificato, ma protegge in aggiunta il login utente.
Se la Preshared Key è stata distribuita in più profili, cambiarla è più impegnativo dal punto di vista operativo. La chiave quindi non dovrebbe essere trattata come un valore usa e getta.
Per i certificati va inoltre verificato se tipo di certificato, durata, chiavi private e client di destinazione combaciano. Per IPsec Remote Access sono particolarmente rilevanti i certificati RSA. Le modifiche ai certificati sono sempre anche un tema di profilo e rollout.
4. Verificare Local ID e Remote ID
Local ID e Remote ID sono opzionali, ma possono essere importanti con più tunnel o peer particolari. Se impostati, devono corrispondere al profilo usato e alla configurazione client.
Valori tipici:
- nome DNS
- indirizzo IP
- certificato
In setup semplici questi campi spesso restano vuoti. Se in seguito compaiono errori come no IKE config found o problemi di proposal/ID, questa area deve rientrare nella verifica. Per un’analisi più approfondita, Troubleshooting Sophos Firewall IPsec VPN è l’articolo successivo più adatto.
5. Assegnare utenti e gruppi
Selezionare solo gli utenti o i gruppi che hanno davvero bisogno di Remote Access. Negli ambienti produttivi, un gruppo VPN dedicato è di solito meglio di un gruppo standard ampio.
Da verificare:
- Il gruppo contiene solo utenti autorizzati.
- Gli utenti usciti vengono rimossi.
- MFA è attivo e testato per questi utenti.
- L’helpdesk sa come bloccare, sbloccare o riprovisionare gli utenti.
I guest users non appartengono a Remote Access. Per ambienti produttivi, un gruppo VPN dedicato è meglio di un gruppo standard ampio del servizio directory.
Configurare i dati client
6. Assegnare i nomi
Il nome della connessione deve essere comprensibile per utenti e supporto. Nomi come homeoffice, remote-access-ipsec o il nome di una sede sono più utili di abbreviazioni interne.
Se vengono distribuiti più profili, la denominazione deve restare coerente. Questo riduce confusioni nel Sophos Connect Client.
7. Definire il pool IP
La firewall assegna ai client VPN un indirizzo dal pool definito. Questo intervallo non deve sovrapporsi a reti interne, altri pool VPN, reti Site-to-Site o intervalli domestici comuni.
Buona pratica:
- intervallo separato solo per Remote Access
- dimensione sufficiente per utenti simultanei
- nessuna sovrapposizione con
192.168.0.0/24,192.168.1.0/24o intervalli domestici frequenti, se evitabile - documentazione chiara in IPAM o nella documentazione di rete
Se il pool viene modificato in seguito, profili e test devono essere ricontrollati.
Per IPsec Remote Access, il pool dovrebbe almeno essere pianificato in modo pulito come subnet dedicata. Inoltre non deve sovrapporsi ad altri pool Remote Access come SSL VPN, L2TP o PPTP.
8. Inserire i server DNS
Se gli utenti devono raggiungere sistemi interni tramite nome, devono essere distribuiti server DNS adatti ed eventualmente search domain. In molti ambienti si tratta di un Domain Controller interno o di un server DNS dedicato.
Resolver esterni come Cloudflare, Google, Quad9 o OpenDNS non risolvono zone interne. Hanno senso solo se tramite il tunnel VPN non servono nomi interni o se il DNS viene gestito intenzionalmente in altro modo.
Esempi di resolver esterni:
- Cloudflare: 1.1.1.1 e 1.0.0.1
- Google: 8.8.8.8 e 8.8.4.4
- Quad9: 9.9.9.9 e 149.112.112.112
- OpenDNS: 208.67.222.222 e 208.67.220.220
Per Remote Access produttivo, di solito è più importante che gli FQDN interni funzionino in modo affidabile. Se il DNS non è pianificato in modo pulito, il tunnel appare “connesso” agli utenti anche se le applicazioni non sono utilizzabili.
Verificare le impostazioni avanzate
9. Impostare Session Timeout
Un Session Timeout impedisce che connessioni VPN non più utilizzate restino aperte senza limite. Valori troppo aggressivi possono però generare casi di supporto, perché gli utenti devono riconnettersi dopo brevi interruzioni.
È sensato un valore adatto al modello di lavoro:
- timeout brevi per accessi amministrativi sporadici
- timeout più lunghi per sessioni di lavoro stabili
- comunicazione chiara se gli utenti devono riconnettersi dopo inattività
Se si usa OTP/MFA, va testato anche l’impatto sui reconnect.
Se la firewall disconnette un client idle, il Sophos Connect Client può ristabilire la connessione in background. Se non riesce, l’utente deve disconnettere consapevolmente la connessione nel client e riconnettersi. Questo comportamento deve essere noto nel processo helpdesk.
10. Impostare consapevolmente gli Advanced settings
Le impostazioni avanzate determinano il comportamento quotidiano del client. Con IPsec Remote Access vengono incluse nel file .scx, non nel file .tgb.
Punti importanti:
- Use as default gateway: Tutto il traffico Internet deve passare dalla firewall o solo le risorse interne?
- Permitted network resources: Quali reti interne possono essere raggiunte tramite il tunnel?
- Send Security Heartbeat through tunnel: Si usa Sophos Endpoint/Synchronized Security e Heartbeat deve passare via VPN?
- Allow users to save username and password: Il login salvato è compatibile con il concetto MFA e di sicurezza?
- Prompt users for 2FA token: OTP deve apparire come campo separato o essere combinato nel campo password?
- Run AD logon script after connecting: I logon script, come le mappature unità, sono davvero necessari e testati?
- Connect tunnel automatically: Il tunnel deve essere stabilito automaticamente al login utente?
Con Full Tunnel tramite Use as default gateway serve inoltre una regola firewall da VPN a WAN e un disegno NAT/Security Policy consapevole. Con Split Tunnel, le risorse interne consentite devono essere documentate in modo pulito.
Se Prompt users for 2FA token è attivo, l’uso è spesso più chiaro per gli utenti. Allo stesso tempo bisogna verificare se strumenti o automazioni utilizzati funzionano con questa impostazione.
11. Salvare ed esportare la configurazione
Dopo il salvataggio viene esportata la configurazione di connessione. A seconda del client e della versione SFOS possono essere rilevanti file .scx, .tgb o di provisioning. Il file non deve essere archiviato apertamente o inoltrato a persone non autorizzate.
Dopo modifiche a gruppo utenti, pool, DNS, profilo, gateway, porta, certificato o Advanced Settings, i client interessati devono ricevere la configurazione aggiornata. I vecchi profili sono una causa frequente di problemi VPN difficili da ricostruire.
Se si usa provisioning, occorre inoltre verificare se il client ricarica automaticamente le modifiche o se gli utenti devono aggiornare la policy nel Sophos Connect Client oppure effettuare di nuovo il login. Modifiche a porta SSL VPN, gateway, certificato server o protocollo sono casi tipici in cui può servire un nuovo login o un passaggio di update consapevole.
Configurare le regole firewall
Sophos Connect stabilisce solo il tunnel. L’accesso ai sistemi interni continua a essere gestito tramite regole firewall. Senza regole adatte, la connessione può essere verde ma l’accesso produttivo non funzionare.
Per l’accesso dei client VPN ai sistemi interni si crea tipicamente una regola da VPN a LAN o verso una zona di destinazione specifica.

- Source Zone: VPN
- Destination Zone: LAN
Meglio di un’autorizzazione ampia a tutta la LAN è di solito una regola sulle reti o sui servizi realmente necessari. Il logging dovrebbe essere attivato nella fase di introduzione, così gli errori sono visibili nel Log Viewer.
Se il client lavora come Full Tunnel e anche il traffico Internet deve passare dalla firewall, serve inoltre una regola da VPN a WAN e un disegno NAT/Security Policy consapevole.

- Source Zone: VPN
- Destination Zone: WAN
Per la ricerca errori nelle regole è utile Testare regole firewall con Log Viewer, Policy Test e Packet Capture.
Le regole firewall non dovrebbero solo “funzionare”, ma essere verificabili. Per la fase di introduzione è utile il logging sulle regole Remote Access. In seguito si può decidere quali regole loggare in modo permanente e quali eventi inviare anche a Sophos Central o Syslog.
Testare dopo il rollout
Uno stato Sophos Connect verde non basta come test di accettazione. Almeno questi punti devono essere verificati con un utente di test:
- Il client importa la configurazione senza errori.
- Il login funziona con password e MFA.
- Il client riceve un indirizzo dal pool VPN atteso.
- I nomi DNS interni vengono risolti correttamente.
- I sistemi interni centrali sono raggiungibili.
- Log Viewer mostra la regola firewall attesa.
- Split Tunnel o Full Tunnel si comportano come previsto.
- Il reconnect dopo un cambio rete funziona.
- I vecchi profili non sono stati riutilizzati.
- Con Full Tunnel, l’accesso Internet via firewall funziona come previsto.
- Con Split Tunnel, le destinazioni non autorizzate restano bloccate.
- Log Viewer mostra hit sulle regole attese.
- Con provisioning, le modifiche ai profili vengono aggiornate in modo tracciabile.
Dopo questo si possono usare le guide di installazione per Windows e macOS.
Checklist operativa
Dopo il rollout tecnico, l’esercizio non dovrebbe restare indefinito:
- Gruppo VPN responsabile documentato.
- Il processo di uscita rimuove gli utenti dai gruppi Remote Access.
- Il processo di reset MFA è noto.
- Versione del profilo o data di modifica documentata.
- L’helpdesk sa quali profili sono attuali.
- Log Viewer e log di servizio rilevanti sono noti.
- Modifiche a pool IP, DNS, gateway, certificato e Advanced Settings attivano una verifica del profilo.
- Prima degli upgrade SFOS vengono verificati Legacy Remote Access IPsec e profili client.
Troubleshooting
La connessione viene stabilita, ma non passa traffico
La causa spesso non è il tunnel, ma regole firewall, NAT, routing, DNS o il percorso di ritorno. Prima verificare nel Log Viewer se il traffico dalla zona VPN colpisce la regola attesa. Poi restringere l’analisi con Packet Capture o Policy Test.
L’utente non riesce ad accedere
Verificare gruppo utenti, server di autenticazione, MFA, utente bloccato e stato della password. Se sono coinvolti AD, RADIUS o Microsoft Entra ID SSO, l’autenticazione deve essere testata separatamente dal VPN.
Il client usa una vecchia configurazione
Dopo modifiche a pool IP, DNS, gruppo utenti, profilo, gateway, certificato o Advanced Settings, la configurazione deve essere ridistribuita o reimportata. Vecchi file .tgb, .scx, .ovpn o di provisioning non dovrebbero restare in circolazione in parallelo.
Il provisioning non funziona
Prima verificare se il VPN Portal è raggiungibile dalla zona necessaria e se Device Access è stato impostato consapevolmente. Poi controllare valore gateway, porta del portale, certificato, login utente, MFA e, con Entra SSO, l’assegnazione in Authentication > Services.
SSO funziona solo in parte
Con Microsoft Entra ID SSO, VPN Portal, IPsec e SSL VPN devono corrispondere al server Entra ID corretto in base al workflow. Con provisioning, il valore gateway deve corrispondere alla Redirect URI della configurazione Entra. Se sono interessati solo singoli utenti, verificare anche UPN, indirizzo email, mapping dei gruppi e gruppi utenti importati.
La connessione è attiva, ma i trasferimenti grandi si bloccano
Se login, DNS e piccoli accessi funzionano, ma trasferimenti file più grandi o determinate applicazioni si bloccano, va verificato MTU/MSS. Il quadro spesso corrisponde a frammentazione, PPPoE, connessioni tunnelizzate o percorso asimmetrico. La procedura è descritta in Verificare MTU e MSS su Sophos Firewall per problemi VPN.
IPsec si interrompe in reti esterne
IPsec può essere bloccato in hotel, reti Wi-Fi guest, reti mobili o reti aziendali con filtri severi. In questi casi occorre verificare se SSL VPN Remote Access, ZTNA o un altro design Remote Access sia più adatto.
Full Tunnel non ha accesso Internet
Se Use as default gateway è attivo, il traffico da VPN a WAN deve essere consentito e gestito con NAT adeguato. Inoltre Web Protection, Application Control, DNS e logging vanno pianificati consapevolmente come per altre reti client.
FAQ
Sophos Connect è automaticamente sicuro quando il tunnel funziona?
Bisogna dare agli utenti VPN accesso a tutta la LAN?
La configurazione client deve essere ridistribuita dopo le modifiche?
Conviene usare .scx o .tgb?
.scx è di solito migliore perché contiene anche impostazioni avanzate. .tgb è più rilevante per client di terze parti o processi più vecchi.Il provisioning è più sicuro di un file di configurazione?
Sophos Connect ha bisogno di proprie regole firewall?
VPN richiede regole firewall adatte verso le zone di destinazione e, con Full Tunnel, regole aggiuntive verso WAN.