Sophos Connect o SSL VPN: quale soluzione di accesso remoto è giusta?
Sophos Firewall offre molteplici percorsi per l’accesso remoto. Negli ambienti più vecchi spesso si trova ancora il classico client SSL VPN o i vecchi profili IPsec. Nelle attuali versioni SFOS, Sophos Connect è il client centrale per molti scenari di accesso remoto, ma la compatibilità varia a seconda della piattaforma, del protocollo e del modello operativo.
Questa guida decisionale mostra quando è opportuno Sophos Connect con IPsec, Sophos Connect con SSL VPN, un client compatibile con OpenVPN o ZTNA. Per gli ambienti con SFOS 22.0 MR1 è anche importante: Legacy Remote Access IPsec non deve più essere lasciato come legacy. La migrazione è descritta nell’articolo Migrazione dell’IPsec di accesso remoto legacy prima di SFOS 22 MR1.
Quale articolo VPN è adatto?
L’accesso remoto e la VPN da sito a sito sono configurati in posizioni diverse in Sophos Firewall. La prima cosa importante per gli amministratori è se si tratta dell’accesso degli utenti, della rete del sito, del funzionamento del client, dell’identità o della risoluzione dei problemi.
- Pianifica l’accesso remoto per gli utenti: Questo articolo.
- Configurare Sophos Connect sul firewall: Configurare Sophos Connect Client sul Sophos Firewall.
- Configurare la VPN SSL per l’accesso remoto: Configurare l’accesso SSL VPN remoto da Sophos Firewall.
- Configura un client VPN SSL su Windows o macOS: Finestre o macOS.
- Configura SSL VPN su iPhone, iPad o Android: iPhone e iPad o Android.
- Costruisci IPsec da sito a sito tra i siti: Configurazione della VPN IPsec site-to-site di Sophos Firewall.
- Il tunnel IPsec è connesso ma il traffico non funziona: Risoluzione dei problemi IPsec della VPN da Sophos Firewall.
- La VPN è connessa, ma i trasferimenti di grandi dimensioni si bloccano: Controllare MTU e MSS di Sophos Firewall tramite una VPN potenzialmente problematica.
- Utilizzare Microsoft Entra ID SSO o Accesso condizionale: Configurare l’ID SSO Microsoft Entra tramite Sophos Connect e il portale VPN.
- Rimuovere IPsec di accesso remoto legacy prima di SFOS 22 MR1: Migrazione dell’IPsec di accesso remoto legacy prima di SFOS 22 MR1.
- Mantenere le versioni e i profili client di Sophos Connect: Controllare e coordinare in modo da garantire la versione di Sophos Connect Client. Questa separazione impedisce molte decisioni sbagliate. Uno stato VPN verde non dimostra che l’accesso funziona, un aggiornamento del client non sostituisce una regola del firewall e un problema di accesso remoto non è automaticamente un problema IPsec.
Breve aiuto al processo decisionale
- Client Windows con distribuzione centrale: Sophos Connect con IPsec o SSL VPN.
- Client macOS da Sophos Connect 2.0: Sophos Connect con IPsec o SSL VPN, a seconda della configurazione del firewall.
- BRACCIO di Windows: Sophos Connect dalla versione 2.5.
- iOS, iPadOS, Android o altre piattaforme mobili: Risorse integrate client o sistema operativo compatibili con OpenVPN, a seconda del protocollo.
- Reti straniere con IPsec bloccato: Controlla SSL VPN o ZTNA.
- Accesso solo alle singole applicazioni: Controlla ZTNA o Accesso senza client.
- IPsec di accesso remoto legacy precedente a SFOS 22 MR1: Migrazione e rimozione. La tabella è volutamente semplificata. In pratica, non è solo il client a decidere, ma anche il modello di autenticazione, l’MFA, l’ambiente di rete degli utenti, gli obiettivi interni richiesti e il modo in cui i profili vengono distribuiti e aggiornati.
Confini della piattaforma e del profilo
Prima di prendere una decisione, non dovresti semplicemente chiedere “IPsec o SSL VPN”. Altrettanto importante è se la piattaforma desiderata supporta il tipo di profilo appropriato e la distribuzione desiderata.
- Windows 10/11 a 64 bit: Sophos Connect IPsec: sì; Sophos Connect SSLVPN: sì; File di fornitura: sì.
- BRACCIO di Windows: Sophos Connect IPsec: da Sophos Connect 2.5; Sophos Connect SSLVPN: da Sophos Connect 2.5; File di fornitura: da Sophos Connect 2.5.
- macOS Intel: Sophos Connect IPsec: sì; Sophos Connect SSLVPN: da Sophos Connect 2.0; File di fornitura: no.
- macOSApple Silicon: Sophos Connect IPsec: sì, via Rosetta 2; Sophos Connect SSLVPN: da Sophos Connect 2.0, tramite Rosetta 2; File di fornitura: no.
- iOS, iPadOS, Android: Sophos Connect IPsec: non con Sophos Connect; Sophos Connect SSLVPN: non con Sophos Connect; File di fornitura: non con Sophos Connect.
- Vecchi client Windows a 32 bit: solo le versioni precedenti di Sophos Connect fino alla 2.4 supportano ancora Windows a 32 bit. Le distribuzioni attuali devono essere pianificate con Windows a 64 bit.
Per macOS ciò significa in pratica: Sophos Connect ora può utilizzare SSL VPN, ma non con la stessa logica di provisioning di Windows. I profili devono essere deliberatamente importati e sottoposti a nuovo provisioning dopo modifiche rilevanti. Per le piattaforme mobili, Sophos Connect non rimane il cliente diretto; A seconda del protocollo sono necessarie app compatibili con OpenVPN o funzioni del sistema operativo.
Sophos Connettiti con IPsec
Sophos Connect con IPsec è spesso la prima scelta quando sono necessarie VPN client classiche per dispositivi Windows o macOS. IPsec è generalmente ad alte prestazioni ed è particolarmente adatto per i clienti aziendali gestiti in cui i profili possono essere distribuiti in modo controllato.
Vantaggi:
- buone prestazioni in molti ambienti
- adatto per client Windows e macOS gestiti
- Regole firewall centrali possibili tramite la zona
VPN. - chiara separazione tra accesso remoto e VPN da sito a sito
- utile se Sophos Connect viene comunque utilizzato come client standard
Limiti:
- IPsec può essere bloccato negli hotel, nelle reti ospiti, nelle reti mobili o nelle reti di terze parti rigorosamente filtrate.
- I profili e le assegnazioni degli utenti devono essere mantenuti correttamente.
- Dopo le modifiche ai pool, al DNS o alle reti di destinazione, i client devono essere testati nuovamente.
- L’IPsec di accesso remoto legacy non deve essere confuso con la configurazione IPsec di accesso remoto corrente.
Per configurarlo sul firewall, Configurare Sophos Connect Client sul Sophos Firewall è l’articolo di connessione appropriato.
Sophos Connettiti con SSL VPN
Sophos Connect può anche utilizzare connessioni SSL VPN. Ciò è rilevante su Windows da molto tempo e, a partire da Sophos Connect 2.0, Sophos supporta anche la VPN SSL su macOS. Ciò è particolarmente importante perché le vecchie istruzioni di Avanet e Sophos Connect risalgono in parte a un’epoca in cui macOS con Sophos Connect poteva eseguire solo IPsec.
Vantaggi:
- spesso meglio utilizzabile in reti di terze parti restrittive rispetto a IPsec
- Windows e macOS sono supportati con le versioni attuali di Sophos Connect
- La tecnologia OpenVPN è facile da capire durante il funzionamento
- ha senso se i processi SSL VPN esistenti sono già stabiliti
Limiti:
- Le prestazioni e la scalabilità dipendono maggiormente dall’appliance, dal protocollo, dalla crittografia e dal carico.
- I profili utente e i certificati devono essere gestiti correttamente.
- I vecchi client SSL VPN e le vecchie versioni OpenVPN non devono essere utilizzati senza verificare.
- I dispositivi mobili utilizzano ancora in genere altri client compatibili con OpenVPN.
La configurazione lato firewall si trova in Configurare l’accesso remoto VPN SSL di Sophos Firewall. Per Windows è disponibile la guida passo passo Configurare Sophos SSL VPN con Sophos Connect su Windows. Per macOS, è necessario controllare la versione corrente di Sophos Connect per eventuali nuove installazioni perché il supporto della piattaforma è cambiato nel 2026. L’articolo operativo appropriato a questo scopo è Control and aggiorna in modo sicuro la versione di Sophos Connect Client.
Client OpenVPN e piattaforme mobili
Sophos Connect non supporta direttamente tutte le piattaforme. Le piattaforme mobili come iOS e Android non sono direttamente coperte da Sophos Connect per IPsec e SSL VPN. In questi casi vengono utilizzate, a seconda del protocollo, le risorse integrate del sistema operativo oppure i client compatibili con OpenVPN.
Questo non è uno svantaggio se il processo è chiaramente documentato. Diventa problematico solo quando gli utenti utilizzano app diverse, vecchi profili e istruzioni poco chiare. Per quanto riguarda i dispositivi mobili è pertanto opportuno definire chiaramente quanto segue:
- quale protocollo viene utilizzato
- quale app è supportata
- da dove proviene il file di configurazione
- come funzionano l’AMF o i certificati
- chi supporta le modifiche al dispositivo
Sono disponibili istruzioni specifiche per Sophos SSL VPN con Sophos Connect su Windows, Sophos SSL VPN con Sophos Connect su macOS, Sophos SSL VPN con iPhone e iPad e Sophos SSL VPN con Android.
Distribuzione e aggiornamenti del profilo
Spesso i problemi di accesso remoto non derivano dal tipo di tunnel selezionato, ma da vecchi profili. Se il gateway, il certificato, il DNS, il gruppo utenti, il pool IP, il portale o il file di provisioning vengono modificati, è necessario pulire attivamente l’inventario del profilo.
Regole pratiche:- Monitoraggio centralizzato delle versioni di Sophos Connect.
- Non distribuire file
.scx,.tgb,.ovpne.proin parallelo in modo incontrollato. - Con il provisioning
.pro, il client riceve automaticamente la configurazione, ma i gateway SSL VPN effettivi provengono comunque dalla configurazione SSL VPN importata e possono differire dall’indirizzo del portale. - Per SSL VPN, verificare se gli utenti possono scaricare nuove configurazioni tramite Update policy nello User Portal o se il profilo deve essere ridistribuito manualmente.
- Distinguere consapevolmente i tipi di file:
.scxviene usato di solito per profili Sophos Connect IPsec,.tgbper profili IPsec di determinati client di terze parti o mobili,.ovpnper configurazioni SSL VPN e.proper il provisioning Windows. - Distinguere consapevolmente i tipi di file:
.scxè in genere per profili IPsec Sophos Connect,.tgbper profili IPsec di determinati client di terze parti o mobile,.ovpnper configurazioni SSL VPN e.proper il provisioning Windows. - Mantieni i nomi dei profili univoci, soprattutto per più posizioni.
- Pianifica una nuova importazione dopo le modifiche a SSL VPN o IPsec.
- Testa separatamente i client Windows, macOS e mobili.
- Rimuovi i vecchi profili quando esci, cambi dispositivo o esegui la migrazione.
Un nuovo import non è rilevante solo dopo modifiche al firewall. Anche gli aggiornamenti del client possono cambiare il comportamento, per esempio quando credenziali salvate, opzioni di profilo o nuove funzioni del client funzionano correttamente solo dopo una nuova importazione della configurazione. Per questo Update policy, reimport e comunicazione all’helpdesk vanno testati prima dei rollout più ampi.
Il processo operativo per gli aggiornamenti del client è in Control and aggiorna in modo sicuro la versione di Sophos Connect Client.
Quando ZTNA è più adatto
Non tutti i casi di accesso remoto necessitano di una VPN classica. Quando gli utenti devono accedere solo a singole applicazioni web o a servizi interni definiti, ZTNA è spesso l’architettura più pulita. Il client quindi non ottiene un accesso generale alla rete, ma solo l’accesso alle applicazioni di cui ha bisogno.
ZTNA è particolarmente indicato se:
- non è richiesta l’accessibilità completa della rete
- gli utenti esterni utilizzano solo singole applicazioni
- L’accesso dovrebbe essere più strettamente legato all’identità, al dispositivo e alla policy
- Le regole VPN sono cresciute storicamente e sono diventate troppo ampie
ZTNA non sostituisce ogni VPN. Potrebbe essere ancora necessaria una VPN classica per l’accesso amministrativo, molti protocolli, software speciali o percorsi di rete complessi. Connettore Sophos ZTNA Gateway funge da introduzione.
Sicurezza e operazioni
Indipendentemente dal cliente scelto, le questioni operative rimangono simili. L’accesso remoto è un punto di ingresso accessibile al pubblico nella rete e non dovrebbe solo funzionare tecnicamente, ma anche essere gestito in modo pulito.
Punti importanti:
- Attivare e testare l’MFA per l’accesso remoto.
- Con Sophos Connect verificare se il metodo MFA è adatto al client. I metodi OTP challenge-based non funzionano come User Portal o WebAdmin; Sophos Connect lavora con password più OTP oppure con flussi call/push.
- Controlla regolarmente i gruppi di utenti.
- Rilasciare solo le reti e i servizi target richiesti.
- Nomina chiaramente e registra le regole del firewall per la zona
VPN. - Rimuovi i profili VPN quando lasci o cambi dispositivo.
- Ripulire le vecchie configurazioni legacy precedenti a SFOS 22.0 MR1.
- Utilizzare il visualizzatore di registri e i registri centrali per errori di accesso e connessione.
Configura Sophos Firewall MFA è adatto per MFA. Se le connessioni vengono stabilite ma non scorre traffico, Risolvere il problema della VPN IPsec in Sophos Firewall e Verificare la regolamentazione del firewall con Log Viewer, Policy Test e Packet Capture possono essere d’aiuto.
Se è possibile accedere al portale VPN, al portale utente o alla VPN SSL da Internet, è necessario selezionare anche Accesso al dispositivo e ACL del serzizio locale. L’accesso remoto non è solo una questione del client, ma anche un servizio firewall accessibile al pubblico.