Vai al contenuto
Avanet

Configurare l'accesso remoto SSL VPN su Sophos Firewall

Sophos Firewall

SSL VPN rimane un’importante modalità di accesso remoto su Sophos Firewall, soprattutto quando gli utenti lavorano da hotel, reti Wi-Fi pubbliche, reti mobili o reti esterne restrittive. Tuttavia, non è solo importante che il tunnel venga stabilito. È cruciale che il firewall limiti correttamente l’accesso, che il DNS funzioni, che l’MFA sia attivo e che le regole del firewall controllino e consentano il traffico dalla zona VPN.

L’articolo descrive la configurazione lato firewall dell’accesso remoto SSL VPN su Sophos Firewall. Per l’installazione del client, consultare Configurare Sophos SSL VPN con Sophos Connect su Windows, Configurare Sophos SSL VPN con Sophos Connect su macOS, Configurare Sophos SSL VPN su iPhone e iPad e Configurare Sophos SSL VPN su Android.

Per la decisione di base tra IPsec, SSL VPN, client mobili e ZTNA, consultare prima Sophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?.

Quale articolo SSL-VPN è adatto?

SSL VPN comprende configurazione del firewall, portale, client, autenticazione e successiva analisi degli errori. A seconda del compito, è adatto un diverso punto di partenza:

SituazioneMiglior punto di partenza
Configurare SSL VPN sul firewallQuesto articolo
Confrontare fondamentalmente Sophos Connect o SSL VPNSophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?
Gestire versioni e profili del client Sophos ConnectVerificare e aggiornare in sicurezza la versione del client Sophos Connect
Configurare il client SSL-VPN su WindowsConfigurare Sophos SSL VPN con Sophos Connect su Windows
Configurare SSL VPN su macOS, iOS o AndroidmacOS, iPhone/iPad o Android
Utilizzare Microsoft Entra ID SSO o Entra-MFAConfigurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal
VPN è connessa, ma il traffico non funzionaTestare la regola del firewall con Log Viewer, Policy Test e Packet Capture
Grandi trasferimenti si bloccano o alcune applicazioni non si caricanoVerificare MTU e MSS di Sophos Firewall in caso di problemi VPN

Questa separazione è importante: un problema utente nel VPN Portal, un profilo .ovpn obsoleto, una regola firewall mancante e un problema DNS spesso appaiono uguali per l’utente. Per l’analisi, questi livelli devono essere separati.

Obiettivo

Una configurazione SSL-VPN pulita è composta da diversi elementi:

  1. Gli utenti o i gruppi sono autorizzati nella policy SSL-VPN corretta.
  2. Le impostazioni globali SSL-VPN definiscono gateway, porta, certificato, intervallo di lease, DNS e crittografia.
  3. Il VPN Portal è accessibile solo quanto necessario ed è protetto con MFA.
  4. Le regole del firewall consentono il traffico dalla zona VPN solo verso le destinazioni necessarie.
  5. Tunnel diviso o tunnel completo è una decisione consapevole.
  6. I client importano un profilo .ovpn aggiornato.
  7. Log, Packet Capture e dati di supporto possono essere valutati in caso di errore.

Molti problemi SSL-VPN sorgono perché viene documentato solo il download del client. In pratica, è necessario considerare insieme portale, autenticazione, policy SSL-VPN, regola firewall, DNS e NAT.

⚠️ SSL VPN è un punto di ingresso accessibile pubblicamente. MFA e password forti sono importanti, ma non sostituiscono una limitazione tramite Device access, gruppi di utenti ristretti, profili aggiornati, logging e revisioni regolari.

Prerequisiti

Prima della configurazione, dovrebbero essere chiariti questi punti:

  • Sophos Firewall con versione SFOS aggiornata.
  • Accessibilità pubblica del firewall o un port forwarding preposto.
  • FQDN o indirizzo IP pubblico per l’accesso VPN.
  • Certificato per VPN Portal e SSL VPN, idealmente corrispondente al FQDN.
  • Utenti o gruppi per l’accesso remoto.
  • Server di autenticazione: locale, Active Directory, RADIUS o Microsoft Entra ID.
  • Concetto MFA/OTP per VPN Portal e accesso remoto.
  • Reti di destinazione interne, server DNS e dominio di ricerca.
  • Decisione per tunnel diviso o tunnel completo.
  • Regole firewall per il traffico dalla zona VPN.
  • Processo per l’aggiornamento del client e la ridistribuzione del file .ovpn.

Se si desidera utilizzare Microsoft Entra ID SSO, l’autenticazione deve essere correttamente preparata prima del download della configurazione VPN. La procedura è descritta in Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal.

1. Preparare gli oggetti locali

Innanzitutto, le reti di destinazione dovrebbero esistere come host o oggetti di rete:

Hosts and services > IP host

Oggetti tipici:

OggettoEsempioScopo
LAN_Server10.10.10.0/24server interni
LAN_Client10.10.20.0/24rete client, se necessario
DNS_Internal10.10.10.10DNS interno o Domain Controller
SSLVPN_Usersgruppo di utentimembri della policy

Non si dovrebbero semplicemente autorizzare intere aree di rete interne se sono necessari solo singoli server o subnet. Più gli oggetti sono definiti in modo ristretto, più semplice sarà successivamente la regola del firewall.

2. Verificare le impostazioni globali SSL-VPN

Le impostazioni globali si applicano a tutte le policy di accesso remoto SSL-VPN:

Remote access VPN > SSL VPN > SSL VPN global settings

Protocollo e porta

SSL VPN può utilizzare TCP o UDP a seconda della configurazione. UDP è spesso più efficiente, mentre TCP può funzionare meglio in reti restrittive. La decisione dovrebbe essere testata con le reti da cui gli utenti lavorano effettivamente.

Per quanto riguarda la porta, bisogna evitare sovrapposizioni:

  • La porta standard SSL VPN è spesso 8443.
  • Il VPN Portal utilizza di default 443 nelle versioni SFOS attuali.
  • Le regole WAF e SSL VPN non devono sovrapporsi sulla stessa IP WAN con la stessa porta e protocollo.
  • Se SSL VPN e VPN Portal utilizzano la stessa porta, le funzioni di sicurezza del login potrebbero non funzionare come previsto.

Se WAF, VPN Portal, User Portal e SSL VPN sono gestiti sulla stessa IP WAN, porta, protocollo e certificato devono essere documentati consapevolmente. Per le basi WAF, consultare Configurare Sophos Firewall WAF ed evitare errori comuni.

Certificato e Override Hostname

Sotto SSL server certificate dovrebbe essere utilizzato un certificato che corrisponde al FQDN pubblico. Un errore di certificato nel VPN Portal o nel profilo SSL-VPN porterà successivamente a inutili casi di supporto.

Sotto Override hostname si specifica quale hostname o indirizzo IP i client devono utilizzare nel profilo .ovpn. Questo è particolarmente importante in caso di:

  • più indirizzi IP WAN,
  • router preposto,
  • NAT o port forwarding davanti al firewall,
  • IP WAN dinamico con DDNS,
  • FQDN separati per WebAdmin, VPN Portal e SSL VPN.

Se il campo rimane vuoto, nel profilo possono finire più indirizzi di interfaccia. Questo può funzionare, ma in ambienti produttivi è spesso meno chiaro di un FQDN pulito.

Intervallo di lease

Sophos Firewall assegna agli SSL-VPN client indirizzi dall’intervallo di lease configurato. Questo intervallo non deve collidere con reti interne, rotte statiche, VPN site-to-site o tipiche aree di rete domestica.

Si dovrebbero evitare subnet comuni come:

  • 192.168.0.0/24
  • 192.168.1.0/24
  • 192.168.2.0/24
  • 10.0.0.0/24
  • 10.0.1.0/24

Se l’intervallo di lease collide con la rete domestica di un utente, il tunnel a volte si connette con successo, ma le destinazioni interne rimangono irraggiungibili. Questo sembra un problema di regola del firewall, ma è un problema di routing sull’endpoint.

Per le regole del firewall, si dovrebbero utilizzare gli host di sistema ##ALL_SSLVPN_RW e per IPv6 ##ALL_SSLVPN_RW6, non host manualmente ricreati con vecchi intervalli di lease.

Indirizzi IP SSL-VPN statici e durata della chiave

Gli indirizzi IP SSL-VPN statici possono essere utili in casi particolari, ad esempio per accessi amministrativi, accessi speciali strettamente registrati o applicazioni legacy con autorizzazione basata su IP. Tuttavia, non sono adatti come standard per tutti gli utenti. Più esistono assegnazioni statiche, più difficile diventa l’operazione, l’analisi degli errori e le migrazioni future.

Nella lista dei problemi noti è documentato un caso particolare: con SSL VPN con autenticazione locale e indirizzo IP SSL-VPN statico assegnato, la ri-autenticazione dopo la scadenza della durata della chiave può fallire. Il firewall può trattare l’indirizzo di lease già assegnato come un conflitto. Gli utenti devono quindi riconnettersi manualmente, anche se il tunnel funzionava prima. Un valore tipico della durata della chiave è 18000 secondi.

Se un utente deve ripetutamente riconnettersi dopo diverse ore, non si dovrebbe solo controllare MFA, versione del client e regola del firewall. Inoltre, questi punti devono essere inclusi nell’analisi:

  • Viene utilizzata l’autenticazione locale per SSL VPN?
  • L’utente ha un indirizzo IP SSL-VPN statico?
  • Il problema si verifica circa dopo la scadenza della durata della chiave?
  • Lo stesso utente funziona in modo più stabile con l’assegnazione dinamica degli IP?
  • È davvero necessario un IP statico o basta una regola su gruppo di utenti, host di sistema SSL-VPN e logging?

Come contromisure pragmatiche, Sophos suggerisce due direzioni: pianificare la durata della chiave in modo che copra la normale giornata lavorativa, o utilizzare l’assegnazione dinamica degli IP. In molti ambienti, l’assegnazione dinamica è più pulita, poiché le regole del firewall dovrebbero comunque essere controllate tramite zona VPN, gruppo di utenti, oggetti di destinazione e host di sistema SSL-VPN.

DNS e Domain Name

Per la risoluzione dei nomi interni, nei parametri globali SSL-VPN vengono impostati server DNS e, facoltativamente, un Domain Name. In ambienti Active Directory, questo è solitamente un server DNS interno o un Domain Controller.

Inoltre, sotto Administration > Device access deve essere consentito il DNS dalla zona VPN se il firewall stesso viene utilizzato come resolver DNS nel design VPN.

Se il DNS nel tunnel non funziona, si dovrebbe testare separatamente:

  • La destinazione è raggiungibile tramite indirizzo IP?
  • Il server DNS interno è consentito dalla regola del firewall?
  • Il client riceve il dominio di ricerca corretto?
  • Il client utilizza davvero il profilo .ovpn aggiornato?
  • La configurazione DNS locale o DoH dell’endpoint interferisce?

3. Creare una policy SSL-VPN

La policy viene creata sotto:

Remote access VPN > SSL VPN

Procedura:

  1. Selezionare Add.
  2. Utilizzare Configure manually.
  3. Assegnare un nome, ad esempio SSLVPN-Remote-Users.
  4. Sotto Policy members selezionare gli utenti o i gruppi autorizzati.
  5. Decidere tra Split Tunnel o Full Tunnel.
  6. In caso di Split Tunnel, selezionare le Permitted network resources.
  7. Facoltativamente, configurare Disconnect idle clients.
  8. Salvare e successivamente verificare con un utente di test.

Importante: se gli utenti o i gruppi vengono inseriti in una policy SSL-VPN più recente che sono già contenuti in una policy SSL-VPN precedente, Sophos Firewall rimuove questa associazione dalla policy precedente. Pertanto, si dovrebbero evitare sovrapposizioni di policy e definire chiaramente quale policy si applica per ciascun gruppo di utenti.

4. Decidere tra Split Tunnel o Full Tunnel

Split Tunnel

Con Split Tunnel, solo il traffico verso le risorse interne consentite passa attraverso il tunnel VPN. Il traffico Internet dell’utente continua a passare direttamente attraverso la rete locale dell’utente.

Split Tunnel è spesso adatto per:

  • Accesso a poche applicazioni interne,
  • Minore carico sul firewall,
  • Migliore performance per l’utente,
  • Piccoli uffici remoti e utenti mobili.

La sicurezza dipende quindi maggiormente dall’endpoint, dall’ambiente di rete locale e dalle risorse interne autorizzate.

Full Tunnel

Con Full Tunnel, tutto il traffico dell’utente remoto viene instradato attraverso il firewall. In Sophos Firewall, questo corrisponde all’opzione Use as default gateway.

Full Tunnel è più adatto quando:

  • Il traffico Internet deve essere controllato centralmente,
  • Web Protection, DNS Protection o logging devono essere applicati agli utenti VPN,
  • Gli utenti lavorano da reti non sicure,
  • La conformità richiede una valutazione centrale.

Con Full Tunnel, la sola policy SSL-VPN non è sufficiente. Sono necessarie anche regole firewall e NAT/SNAT per il traffico Internet dalla zona VPN. Inoltre, si dovrebbero testare in anticipo performance, larghezza di banda, filtraggio web e logging.

5. Creare regole firewall per la zona VPN

Il fatto che il tunnel sia stabilito non significa che il traffico sia consentito. Per l’accesso alle risorse interne, è necessaria una regola firewall appropriata:

Rules and policies > Firewall rules

Regola consigliata per Split Tunnel:

CampoRaccomandazione
Rule nameVPN_SSLVPN_to_Internal_Servers
Source zoneVPN
Source networks and devices##ALL_SSLVPN_RW
Destination zoneszone di destinazione interne, ad esempio LAN o DMZ
Destination networkssolo server o subnet consentiti
Servicessolo servizi necessari
Log firewall trafficattivare

Per Full Tunnel è necessaria anche una regola da VPN a WAN o Any, a seconda del design. Le reti di origine dovrebbero continuare a essere gli host di sistema SSL-VPN. Successivamente, deve essere verificata l’esistenza di una regola SNAT appropriata.

Se una connessione è stabilita ma l’accesso non funziona, si dovrebbe prima controllare il Log Viewer. Per la metodologia, consultare Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture.

6. Proteggere VPN Portal e Device Access

Gli utenti scaricano Sophos Connect e il file .ovpn tipicamente tramite il VPN Portal:

Administration > Admin and user settings
Administration > Device access
Authentication > Services
Authentication > Multi-factor Authentication

Verificare almeno:

  • Porta e certificato del VPN Portal.
  • Metodi di autenticazione del VPN Portal.
  • MFA per VPN Portal e accesso remoto.
  • Device Access per VPN Portal solo nelle zone necessarie.
  • Device Access per SSL VPN sulla zona WAN solo se necessario esternamente.
  • Nessun User Portal aperto permanentemente su WAN, se non necessario.

Per il rafforzamento dei servizi firewall locali, consultare Device Access e Local Service ACL su Sophos Firewall. Per le basi MFA, consultare Attivare MFA per Sophos Firewall WebAdmin, VPN Portal e accesso remoto.

Il VPN Portal appare utile per gli utenti solo se loro o i loro gruppi sono inclusi in una policy di accesso remoto appropriata. Se manca l’associazione alla policy, l’utente non vede i download di configurazione necessari.

Se VPN Portal o SSL VPN devono essere consentiti sulla zona WAN, questo dovrebbe essere documentato consapevolmente. In molti ambienti, non basta aprire il servizio a livello globale e fare affidamento su MFA. Dove possibile, si dovrebbero esaminare reti di origine fisse, limitazioni geografiche, Threat Feeds, verifica dei log o un design di accesso remoto preposto.

7. Distribuire il profilo client

Dopo la configurazione della policy e del portale, viene distribuito il file .ovpn. Questo può avvenire tramite il VPN Portal o controllato tramite il processo amministrativo.

Importante:

  • Dopo modifiche a gateway, porta, certificato, DNS, intervallo di lease, policy o autenticazione, il profilo deve essere ricaricato.
  • Un aggiornamento di Sophos Connect non sostituisce un vecchio profilo .ovpn.
  • I nomi dei profili dovrebbero essere univoci.
  • I vecchi profili dovrebbero essere rimossi in caso di cambio di sede, cambio di gateway o cambio di utente.
  • Windows, macOS, iOS, Android e Linux utilizzano percorsi client parzialmente diversi.

Per aggiornamenti del client e gestione delle versioni, consultare Verificare e aggiornare in sicurezza la versione del client Sophos Connect.

Testare dopo la configurazione

Con un utente di test, non si dovrebbe solo verificare se Sophos Connect mostra Connected.

Lista di test:

  • L’utente vede nel VPN Portal il download di Sophos Connect e la configurazione SSL-VPN.
  • Il file .ovpn può essere importato.
  • MFA viene richiesto come previsto.
  • Il client riceve un indirizzo dall’intervallo di lease SSL-VPN.
  • La rotta verso le reti interne consentite appare sull’endpoint.
  • I nomi DNS interni vengono risolti.
  • L’accesso ai server consentiti funziona.
  • Le reti non consentite rimangono bloccate.
  • Il Log Viewer mostra la regola del firewall corretta.
  • Packet Capture mostra il traffico su un’interfaccia tun, se necessario.
  • Con Full Tunnel, funziona anche l’accesso a Internet e SNAT.

Se il test viene eseguito solo con un utente amministratore, si possono facilmente trascurare errori di gruppo e policy. È meglio un normale utente pilota del gruppo target.

Test di accettazione per scenario

Prima di un ampio rollout, si dovrebbero documentare correttamente almeno questi casi di test:

ScenarioTestRisultato atteso
Nuovo utenteAccesso al VPN Portal e importazione del profiloL’utente vede solo la configurazione SSL-VPN appropriata e può importare il profilo
MFA attivoLogin con OTP corretto e erratoIl fattore corretto consente l’accesso, il fattore errato viene rifiutato e registrato
Split TunnelAccesso a destinazione interna consentita e non consentitaLe destinazioni consentite funzionano, altre reti rimangono bloccate
Full TunnelAccesso a Internet tramite VPNLa regola del firewall, SNAT, DNS e la policy di sicurezza funzionano come previsto
DNSAccesso tramite nome e indirizzo IPGli errori DNS possono essere separati dai problemi di routing o di regola
Modifica del profiloImportare un nuovo profilo .ovpnIl FQDN, la porta, il DNS o il certificato modificato sono visibili nel profilo client
Caso di erroreVerificare Log Viewer e Packet CaptureLa regola del firewall effettivamente corrispondente e il flusso dei pacchetti sono comprensibili

Per ambienti produttivi, ogni test dovrebbe includere un orario, un utente, una piattaforma client e un obiettivo concreto. Affermazioni come “VPN funziona” o “VPN non funziona” sono troppo vaghe per casi di supporto futuri.

Raccogliere log e prove

In caso di problemi SSL-VPN, si dovrebbe prima chiarire se l’errore si verifica durante il login, durante la creazione del tunnel o durante l’accesso alle destinazioni interne. Questa separazione risparmia tempo, poiché altrimenti autenticazione, profilo client, routing e regole del firewall vengono controllati in modo confuso.

Per un caso di test riproducibile, dovrebbero essere annotati questi dati:

ProvaPerché è importante
Nome utente e gruppomostra quale policy SSL-VPN e autenticazione dovrebbero essere applicate
Piattaforma client e versione di Sophos Connectsepara errori del client dalla configurazione del firewall
Orario del testrende comparabili Log Viewer, sslvpn.log e log di autenticazione
Rete di origine dell’utenteaiuta con Wi-Fi dell’hotel, rete mobile, CGNAT, firewall restrittivi o problemi di porta
Sistema di destinazione e serviziopreviene affermazioni troppo ampie come “VPN non funziona”
Risultato tramite indirizzo IP e nome DNSsepara problemi di routing e DNS

Successivamente, si dovrebbe eseguire il controllo in questo ordine:

  1. Verificare l’autenticazione: Nel Log Viewer e, se necessario, nei log di autenticazione, verificare se utente, MFA, gruppo e server di autenticazione sono riusciti. Con Microsoft Entra ID SSO, è rilevante anche oauth_sso_vpn.log.
  2. Verificare lo stato del tunnel: Verificare la connessione SSL-VPN, l’indirizzo di lease e lo stato di OpenVPN. Sul lato firewall, aiutano sslvpn.log e openvpn-status*.log.
  3. Verificare la regola del firewall: Nel Log Viewer, cercare il traffico dalla zona VPN e controllare quale regola corrisponde effettivamente. La regola dovrebbe avere attivo Log firewall traffic.
  4. Verificare il flusso dei pacchetti: Se il Log Viewer non è sufficiente, filtrare con Packet Capture su origine, destinazione e servizio. È importante sapere se i pacchetti sono solo Incoming o anche Forwarded.
  5. Verificare il lato di destinazione: Se il traffico lascia il firewall ma non arriva alcuna risposta, sono più probabili una rotta di ritorno, il firewall del server, il firewall locale dell’host o un conflitto di rete rispetto alla policy SSL-VPN.

Per l’assegnazione dei principali file di log, consultare Risoluzione dei problemi di Sophos Firewall: Servizi e log. Per l’analisi delle regole con Log Viewer, Policy Test e Packet Capture, consultare Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture.

Risoluzione dei problemi

L’utente non vede la configurazione SSL-VPN nel VPN Portal

Di solito manca l’associazione alla policy. Si verifica se l’utente o il suo gruppo sono inclusi nella policy SSL-VPN sotto Policy members. Inoltre, si dovrebbero verificare autenticazione, MFA e accessibilità del VPN Portal.

Se il login e l’associazione alla policy sembrano corretti, ma il download del file .ovpn manca o fallisce comunque, si dovrebbe anche verificare il Limite di ID utente di Sophos Firewall. Questo è particolarmente rilevante se più utenti utilizzano il portale, ma solo alcuni download falliscono inaspettatamente.

Il tunnel si connette, ma i sistemi interni non sono raggiungibili

Innanzitutto, verificare se sull’endpoint esiste una rotta verso la rete di destinazione interna. Successivamente, cercare nel Log Viewer il traffico dalla zona VPN. Se non è visibile alcun traffico, il client non raggiunge il firewall come previsto o il profilo è obsoleto.

Se il traffico è visibile ma viene applicata la regola sbagliata, è necessario correggere l’ordine delle regole o la definizione del servizio/destinazione. Se non arriva alcuna risposta, sono probabili routing, firewall di destinazione, firewall locale del server o un conflitto di rete.

Il DNS non funziona

Si verifica se l’accesso tramite indirizzo IP funziona. Se sì, l’errore è probabilmente nel DNS. Successivamente, verificare i server DNS nelle impostazioni globali SSL-VPN, il Domain Name, il Device Access per DNS dalla zona VPN e il comportamento DNS dell’endpoint.

L’accesso funziona solo per alcuni utenti

In tal caso, sono più probabili appartenenza al gruppo, associazione alla policy, indirizzi IP SSL-VPN statici, stato MFA o profili obsoleti rispetto a un errore globale del firewall. Si dovrebbero anche verificare le associazioni di policy duplicate.

L’utente deve riconnettersi dopo alcune ore

Se SSL VPN funziona inizialmente, ma dopo alcune ore è necessaria una nuova connessione o una riconnessione manuale, si dovrebbero prima verificare i modelli temporali, l’autenticazione e il modello di lease. Questo è particolarmente rilevante con autenticazione locale e indirizzo IP SSL-VPN statico assegnato.

Procedura pratica:

  1. Annotare l’orario di connessione e di disconnessione.
  2. Confrontare il momento con la durata della chiave configurata.
  3. Verificare se l’utente ha un indirizzo IP SSL-VPN statico.
  4. Testare l’assegnazione dinamica degli IP per un utente pilota, se possibile operativamente.
  5. Cercare in sslvpn.log, openvpn-status*.log e Log Viewer autenticazione, indirizzo di lease e nuova connessione.
  6. Se viene scelta una durata della chiave più lunga, documentare la modifica e non considerarla come sostituto di MFA o di un controllo delle sessioni pulito.

Se gli IP statici vengono utilizzati solo per semplificare le regole del firewall, il design dovrebbe essere rivisto. Di solito, gruppi, obiettivi chiaramente denominati, servizi ristretti e logging sono una base migliore rispetto a singoli indirizzi IP utente.

Full Tunnel non ha accesso a Internet

Con Use as default gateway, è necessaria una regola firewall per il traffico dalla zona VPN verso Internet e una regola SNAT appropriata. Inoltre, le policy Web, DNS e di sicurezza devono essere pianificate in modo che non blocchino inaspettatamente gli utenti VPN.

La connessione è stabilita, ma i grandi trasferimenti si bloccano

Se il login, il DNS e piccoli accessi funzionano, ma RDP, trasferimenti di file, applicazioni web o grandi download si bloccano, si dovrebbero verificare MTU e MSS. Questo errore spesso si adatta a frammentazione, PPPoE, connessioni incapsulate o un percorso asimmetrico, non solo a SSL VPN stesso.

Per un’analisi sistematica, consultare Verificare MTU e MSS di Sophos Firewall in caso di problemi VPN.

WAF o Portal collidono con SSL VPN

Se WAF, VPN Portal, User Portal e SSL VPN sono gestiti sulla stessa IP WAN, porta e protocollo devono essere separati in modo pulito. Particolarmente critiche sono le combinazioni condivise di IP WAN, porta e TCP. In caso di drop non chiari, verificare Log Viewer e Packet Capture.

Il profilo è obsoleto dopo una modifica

Dopo modifiche a policy SSL-VPN, gateway, DNS, certificato, porta o autenticazione, il file .ovpn deve essere scaricato nuovamente e importato. Molti problemi apparenti del client sono profili obsoleti.

Lista di controllo operativa

Prima del rollout produttivo

  • FQDN e certificato per VPN Portal e SSL VPN verificati.
  • L’intervallo di lease SSL-VPN non collide con reti interne o tipiche reti domestiche.
  • La policy SSL-VPN contiene gli utenti o i gruppi corretti.
  • Tunnel diviso o tunnel completo è una decisione consapevole.
  • Le risorse di rete consentite sono definite in modo ristretto in caso di tunnel diviso.
  • Server DNS e Domain Name sono impostati correttamente.
  • Esiste una regola firewall da VPN a destinazioni interne e registra.
  • In caso di tunnel completo, esistono regola Internet e SNAT.
  • Device Access per SSL VPN e VPN Portal è impostato consapevolmente.
  • MFA è testato per l’accesso remoto.
  • L’utente di test può scaricare, importare il profilo e raggiungere le destinazioni interne.

Per il funzionamento continuo

  • Imporre MFA per VPN Portal e accesso remoto.
  • Verificare regolarmente i gruppi VPN.
  • Mantenere le regole del firewall per VPN strette e registrare.
  • Controllare l’intervallo di lease prima delle modifiche di rete.
  • Utilizzare indirizzi IP SSL-VPN statici solo in modo mirato e verificarli regolarmente.
  • Documentare DNS e dominio di ricerca.
  • Rinnovare i certificati del portale e SSL-VPN prima della scadenza.
  • Seguire le versioni di Sophos Connect.
  • Pianificare la ridistribuzione del profilo dopo le modifiche.
  • Valutare i log a lungo termine tramite Syslog o Sophos Central, se è importante la tracciabilità.

Per file di log e servizi, consultare Risoluzione dei problemi di Sophos Firewall: Servizi e log.

Verificare regolarmente i casi speciali

  • Gli indirizzi IP SSL-VPN statici sono giustificati e documentati.
  • La durata della chiave si adatta al modello operativo ed è stata testata con la riconnessione.
  • Il vecchio profilo .ovpn viene ridistribuito dopo le modifiche.
  • VPN Portal, User Portal, WAF e SSL VPN non collidono sulla stessa IP WAN con porta e protocollo.
  • Gli utenti con diritti speciali o accesso amministrativo vengono verificati separatamente.

FAQ

Dove si configura SSL VPN su Sophos Firewall?

La configurazione centrale si trova sotto Remote access VPN > SSL VPN. Lì vengono configurate le policy e le impostazioni globali SSL-VPN. Portale, autenticazione, MFA e Device Access si trovano in aree separate.

È necessario creare una regola firewall per SSL VPN?

Sì. La creazione del tunnel non consente ancora l’accesso ai sistemi interni. Il traffico dalla zona VPN deve essere consentito tramite regole firewall verso le zone di destinazione, le reti di destinazione e i servizi necessari.

Cosa è meglio: Split Tunnel o Full Tunnel?

Split Tunnel è spesso più performante e semplice se sono necessarie solo poche destinazioni interne. Full Tunnel instrada tutto il traffico attraverso il firewall e richiede regole aggiuntive, SNAT, policy di sicurezza e pianificazione della capacità.

Perché un utente non vede la configurazione VPN nel VPN Portal?

Di solito manca l’utente o il suo gruppo in una policy di accesso remoto SSL-VPN. Inoltre, si dovrebbero verificare autenticazione, MFA, accessibilità del VPN Portal e Device Access.

Perché SSL VPN si connette, ma i sistemi interni non sono raggiungibili?

Spesso mancano regole firewall, la rotta non è stata impostata sull’endpoint, il DNS non funziona, l’intervallo di lease collide con una rete locale o il profilo .ovpn è obsoleto.

Perché un utente SSL-VPN deve riconnettersi dopo alcune ore?

Se vengono utilizzati autenticazione locale e un indirizzo IP SSL-VPN statico, la ri-autenticazione dopo la scadenza della durata della chiave può essere interessata. Si dovrebbe quindi verificare l’assegnazione IP statica, la durata della chiave, sslvpn.log e un test con assegnazione IP dinamica.

Quali log aiutano con i problemi SSL-VPN?

Nel WebAdmin aiutano Log Viewer e Packet Capture. Sul lato firewall, a seconda del problema, sono rilevanti sslvpn.log, openvpn-status*.log e i log del firewall. Per una conservazione più lunga, si dovrebbe pianificare Syslog o una valutazione log centrale.