Vai al contenuto
Avanet

Configurare Sophos SSL VPN su Android

Sophos Firewall

Sophos Connect non supporta direttamente Android per IPsec o SSL VPN. Pertanto, se uno smartphone o tablet Android deve connettersi tramite Sophos Firewall Remote Access, è necessario un client compatibile con OpenVPN. In molte configurazioni, OpenVPN Connect è lo standard più ovvio, poiché Sophos Firewall fornisce una configurazione .ovpn per i client mobili.

L’articolo descrive il processo pratico per configurare Sophos SSL VPN su Android: installare l’app, ottenere la configurazione .ovpn, importare il profilo, testare la connessione e delimitare gli errori comuni. Per la decisione di base tra Sophos Connect, SSL VPN, IPsec, client mobili e ZTNA, consultare prima Sophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?.

Quando SSL VPN su Android è utile

SSL VPN su Android è utile quando gli utenti mobili devono accedere occasionalmente a sistemi interni e un profilo VPN classico è sufficiente.

Esempi tipici:

  • Accesso a applicazioni web interne
  • Accesso amministrativo a pochi sistemi tramite tablet
  • Accesso a strumenti interni tramite app definite
  • Accesso temporaneo senza client notebook gestito
  • Soluzione di transizione quando ZTNA o proxy app non sono ancora disponibili

Per un accesso permanente a molti sistemi interni, un dispositivo mobile spesso non è la piattaforma di destinazione migliore. In tal caso, dovrebbe essere valutato se un client Windows o macOS gestito con Sophos Connect, un accesso ZTNA più stretto o un altro design di accesso remoto sia più adatto.

Confronto con altri client

Questa guida si applica a Sophos Firewall con SFOS e dispositivi Android. A seconda della piattaforma o della situazione di partenza, potrebbe essere più adatto un altro approccio:

SituazioneApproccio adatto
Configurare SSL VPN su AndroidQuesto articolo
Configurare SSL VPN con Sophos Connect su WindowsConfigurare Sophos SSL VPN con Sophos Connect su Windows
Configurare SSL VPN con Sophos Connect su macOSConfigurare Sophos SSL VPN con Sophos Connect su macOS
Configurare SSL VPN su iPhone e iPadConfigurare Sophos SSL VPN su iPhone e iPad
Installare Sophos Connect su WindowsInstallare Sophos Connect Client su Windows
Installare Sophos Connect su macOSInstallare Sophos Connect Client su macOS

È importante la distinzione: Sophos Connect non è il client SSL-VPN diretto per Android. Se si desidera supportare dispositivi mobili, dovrebbe essere chiaramente definito internamente quale client compatibile con OpenVPN utilizzare, da dove provengono i profili e chi supporta i cambi di dispositivo.

Prerequisiti

Prima della configurazione, dovrebbero essere chiariti questi punti:

  • Sophos Firewall con configurazione di accesso remoto SSL-VPN impostata
  • Utente con autorizzazione per SSL VPN
  • Accesso al portale VPN o file .ovpn fornito amministrativamente
  • Client compatibile con OpenVPN su Android
  • MFA/OTP configurato, se l’accesso remoto è protetto con esso
  • Certificato valido per il portale VPN e l’accesso al firewall, se possibile
  • Regole firewall per il traffico dalla zona VPN
  • Design del tunnel diviso o tunnel completo chiarito
  • Processo di supporto per cambi di dispositivo, dispositivi persi e profili vecchi

Prima di un aggiornamento a SFOS 22.0 MR1 o successivo, dovrebbe essere verificato se sono ancora presenti configurazioni di accesso remoto IPsec vecchie. SSL VPN non è direttamente interessato, ma molte configurazioni rivalutano l’accesso remoto in questo momento. Il processo è descritto in Migrare l’accesso remoto IPsec legacy prima di SFOS 22 MR1.

Preparare il firewall e il portale VPN

La configurazione su Android è solo l’ultimo passo. Prima, la configurazione del firewall deve essere corretta.

Su Sophos Firewall, dovrebbero essere verificati questi punti:

  1. Aprire Remote access VPN.
  2. Configurare SSL VPN per gli utenti o gruppi necessari.
  3. Utilizzare un pool IP VPN senza sovrapposizioni con LAN, WLAN, VLAN, VPN site-to-site o reti domestiche tipiche.
  4. Impostare server DNS e suffissi di dominio in modo appropriato se vengono utilizzati nomi interni.
  5. Attivare MFA per l’accesso remoto e testarlo con un utente di prova.
  6. Creare una regola firewall dalla VPN alla zona di destinazione necessaria.
  7. Attivare il logging per la fase di introduzione.
  8. Concedere l’accesso al portale VPN tramite Administration > Device access solo quanto necessario.

Il processo completo lato firewall è descritto in Configurare l’accesso remoto SSL VPN su Sophos Firewall.

Il portale VPN è un punto di ingresso accessibile pubblicamente. Se deve essere accessibile da Internet, certificato, MFA, limitazione di paese/origine e controllo dei log devono essere pianificati consapevolmente. Per il rafforzamento, consultare Accesso al dispositivo e ACL del servizio locale su Sophos Firewall.

1. Installare OpenVPN Connect

Installare OpenVPN Connect da Google Play: OpenVPN Connect.

Se in un ambiente è standardizzato un altro client compatibile con OpenVPN, questa decisione dovrebbe essere documentata. Diventa problematico se gli utenti utilizzano parallelamente diverse app VPN, profili vecchi e istruzioni diverse.

Per supporto e operatività, dovrebbe essere stabilito:

  • quale client è supportato
  • quale versione dell’app è almeno richiesta
  • se gli utenti possono installare l’app autonomamente
  • come vengono distribuiti e ritirati i profili
  • come vengono gestiti i dispositivi persi o sostituiti

2. Aprire il portale VPN

Sul dispositivo Android, aprire il portale VPN di Sophos Firewall nel browser e accedere con l’utente VPN. Nella maggior parte degli ambienti, il browser Android normale o Chrome è sufficiente. È importante che il file .ovpn scaricato possa essere successivamente passato a OpenVPN Connect.

Se il portale VPN viene aperto con un certificato non valido o non attendibile, la causa dovrebbe essere risolta. Un’eccezione del browser permanente non è un buon standard operativo per l’accesso remoto produttivo.

Con MFA, il processo dovrebbe essere testato con un vero utente di prova. È particolarmente importante sapere se il secondo fattore viene richiesto in un campo separato o se la password e il codice OTP devono essere inseriti nella forma prevista. Le basi sono descritte in Attivare MFA per Sophos Firewall WebAdmin, portale VPN e accesso remoto.

3. Scaricare la configurazione OVPN

Nel portale VPN, passare alla sezione SSL VPN o VPN e scaricare la configurazione per Android/iOS. A seconda della versione SFOS e della vista del portale, il link si chiama in modo simile a Download configuration for Android/iOS.

Il file scaricato ha normalmente l’estensione .ovpn. Questo file è specifico per l’utente e non dovrebbe essere condiviso con altri utenti.

Importante:

  • Il file dovrebbe provenire dalla configurazione attuale del firewall.
  • I file vecchi da archivi email, cronologie chat o cartelle di download non dovrebbero essere riutilizzati.
  • Dopo modifiche alla policy SSL-VPN, certificato, gateway, DNS o gruppo utente, il profilo dovrebbe essere ricaricato.
  • Se un utente lascia l’azienda o un dispositivo viene perso, accesso utente, appartenenza al gruppo e distribuzione del profilo devono essere verificati.

4. Importare il profilo in OpenVPN Connect

Se Android non offre automaticamente l’importazione, il file .ovpn può essere aperto tramite la funzione di condivisione o tramite l’importazione del file in OpenVPN Connect. OpenVPN Connect mostrerà quindi il nuovo profilo e chiederà l’autorizzazione per creare una connessione VPN al primo avvio.

Questa conferma Android è necessaria affinché l’app possa creare una connessione VPN. Se la conferma viene rifiutata, il profilo potrebbe apparire nell’app, ma la connessione non può essere stabilita correttamente.

Con più profili, il nome dovrebbe essere chiaro, ad esempio con la posizione, l’ambiente o il nome dell’azienda. Profili con nomi quasi identici sono una causa comune di supporto.

5. Stabilire la connessione VPN

Attivare il profilo importato e accedere con l’utente VPN. Se MFA o OTP è attivo, il secondo fattore deve essere confermato secondo la configurazione del firewall.

Dopo una connessione riuscita, non solo l’app OpenVPN dovrebbe essere visualizzata come connessa. È fondamentale che gli obiettivi interni pianificati siano raggiungibili e che il traffico sul firewall incontri la regola corretta.

Verificare dopo la configurazione

Almeno questi punti dovrebbero essere verificati con un utente di prova:

  • OpenVPN Connect mostra la connessione come connessa.
  • Android mostra lo stato VPN nella barra di stato o nelle impostazioni di rete.
  • L’utente riceve un indirizzo IP dal pool SSL-VPN previsto.
  • I nomi DNS interni vengono risolti correttamente.
  • I server, le applicazioni web o i servizi necessari sono raggiungibili.
  • Il comportamento di Internet corrisponde al design: tunnel diviso o tunnel completo.
  • Nel Log Viewer è visibile la regola firewall prevista per il traffico dalla zona VPN.
  • MFA viene richiesto come pianificato.
  • Testare nuovamente la connessione dopo modalità aereo, cambio WLAN o cambio rete mobile.
  • I profili vecchi sono stati rimossi o chiaramente contrassegnati come obsoleti.

Se la connessione è stabilita ma non funziona alcun accesso, la causa spesso non è nel client mobile, ma nelle regole firewall, DNS, routing o NAT. Per l’analisi, consultare Testare la regola firewall con Log Viewer, Policy Test e Packet Capture.

Distribuzione manuale o MDM?

Con pochi dispositivi Android, l’importazione manuale tramite portale VPN, cartella di download e OpenVPN Connect può essere sufficiente. Non appena sono coinvolti più utenti, smartphone gestiti o cambi di dispositivo regolari, la distribuzione del profilo dovrebbe essere pianificata consapevolmente. Altrimenti, i vecchi file .ovpn rimangono nei download, nelle chat, nelle email o nei cloud privati e vengono riutilizzati nei casi di supporto successivi.

VarianteUtile quandoCosa considerare
Importazione manualepochi dispositivi, gruppo pilota, utilizzo occasionaleistruzioni chiare, profilo aggiornato, test MFA e rimozione dei profili vecchi
Distribuzione tramite MDM o gestione endpointdispositivi Android gestiti, molti utenti, modifiche ricorrentidistribuzione app, versione del profilo, perdita del dispositivo, ritiro dei profili vecchi e processo di supporto

È importante il ritiro. Quando un dispositivo Android viene sostituito, un utente lascia o una policy SSL-VPN viene modificata, non basta fornire un nuovo profilo. Devono essere verificati anche i profili vecchi, le appartenenze ai gruppi, le credenziali memorizzate e le eventuali copie di file presenti.

Operatività e sicurezza

I profili VPN mobili necessitano di regole operative chiare. I dispositivi Android cambiano frequentemente tra WLAN, rete mobile, hotspot e portali captive. Inoltre, i dispositivi mobili si perdono più facilmente o vengono sostituiti più rapidamente rispetto ai notebook aziendali classici.

Buone pratiche:

  • Aggiornare regolarmente OpenVPN Connect.
  • Attivare e testare MFA per l’accesso remoto.
  • Verificare regolarmente i gruppi VPN.
  • Limitare il portale VPN tramite Device Access e Local Service ACL, per quanto possibile.
  • Mantenere strette e registrare le regole firewall per la zona VPN.
  • Rimuovere i file .ovpn vecchi e i profili obsoleti.
  • Considerare i cambi di dispositivo e i dispositivi persi nel processo di supporto.
  • Pianificare Syslog o valutazione centrale per una conservazione dei log più lunga.

Per i file di log e i log di servizio, Risoluzione dei problemi di Sophos Firewall: Servizi e Log è utile.

Errori comuni

Il file OVPN non si apre

Verificare innanzitutto se OpenVPN Connect è installato e se il file è effettivamente in formato .ovpn. Quindi scaricare nuovamente il file dal portale VPN o passarlo a OpenVPN Connect tramite la funzione di condivisione.

Se il file viene distribuito tramite MDM, email o condivisione file, dovrebbe essere verificato se il file è stato modificato, rinominato o bloccato durante il trasferimento.

L’importazione funziona, ma la connessione no

Spesso l’autorizzazione Android per la configurazione VPN non è stata concessa correttamente o il profilo non corrisponde alla configurazione attuale del firewall. Eliminare il profilo, ottenere nuovamente il file .ovpn attuale e importarlo di nuovo.

L’accesso fallisce

Verificare utente, password, MFA, appartenenza al gruppo e server di autenticazione. Se sono coinvolti AD, RADIUS o Microsoft Entra ID SSO, l’autenticazione dovrebbe essere testata separatamente dal VPN. Un problema di accesso non è automaticamente un problema di OpenVPN.

La connessione è stabilita, ma i sistemi interni non sono raggiungibili

Verificare DNS, regole firewall, routing, NAT e percorso di ritorno. Nel Log Viewer, il traffico dalla zona VPN dovrebbe essere visibile. Se non appaiono log, il traffico probabilmente non raggiunge la regola prevista o il logging è disattivato.

Per singoli sistemi interni, spesso non è il VPN stesso a essere difettoso, ma una regola firewall mancante, un nome DNS errato o una rotta di ritorno nella rete di destinazione.

Se piccoli accessi funzionano, ma trasferimenti di file più grandi o applicazioni specifiche si bloccano, dovrebbe essere verificato anche MTU/MSS: Verificare MTU e MSS di Sophos Firewall in caso di problemi VPN.

I nomi interni non vengono risolti

Verificare server DNS e dominio di ricerca nella configurazione SSL-VPN. Quindi testare se i sistemi interni sono raggiungibili tramite indirizzo IP. Se l’IP funziona, ma il nome no, la causa è probabilmente nel DNS, non nella connessione VPN stessa.

La connessione si interrompe al cambio di rete

Nei dispositivi mobili, cambi WLAN, cambi rete mobile, portali captive e meccanismi di risparmio energetico sono cause tipiche. Testare con una seconda rete e verificare se il comportamento è riproducibile.

Se gli utenti cambiano frequentemente rete, dovrebbe essere verificato se l’applicazione può gestire brevi interruzioni VPN o se un altro modello di accesso è più adatto.

Lista di controllo

Prima del rollout

  • Definito il client OpenVPN supportato.
  • Verificato il gruppo utenti SSL-VPN.
  • Testato MFA per l’accesso remoto.
  • Portale VPN accessibile con certificato valido.
  • Accesso al dispositivo e accesso da Internet limitato consapevolmente.
  • Create e registrate le regole firewall per la zona VPN.
  • Documentato tunnel diviso o tunnel completo.
  • Chiarito processo di distribuzione del profilo e cambio dispositivo.

Dopo l’importazione

  • Profilo visibile in OpenVPN Connect.
  • Autorizzazione VPN Android confermata.
  • Connessione stabilita con utente di prova.
  • Verificati DNS, obiettivi interni e corrispondenza delle regole firewall.
  • Testati WLAN, rete mobile e cambio rete.
  • Rimossi i profili vecchi.

In operatività

  • Mantenere aggiornati l’app OpenVPN e Android.
  • Verificare regolarmente i gruppi di utenti.
  • Rimuovere i profili vecchi in caso di uscita o perdita del dispositivo.
  • Verificare i log VPN nei casi di supporto.
  • In caso di problemi mobili ricorrenti, valutare ZTNA o accesso basato su app.

FAQ

Sophos Connect supporta SSL VPN su Android?

No. Sophos Connect non supporta direttamente Android per IPsec e SSL VPN. Su Android viene utilizzato un client compatibile con OpenVPN.

È necessario utilizzare OpenVPN Connect?

Non necessariamente. Tuttavia, OpenVPN Connect è uno standard comune per i profili OpenVPN su Android. Se viene utilizzato un altro client, dovrebbe essere chiaramente documentato e supportato internamente.

MFA funziona con SSL VPN su Android?

Sì, se MFA è configurato correttamente su Sophos Firewall per l’accesso remoto. A seconda della configurazione, il secondo fattore viene elaborato al login o tramite l’inserimento della password.

SSL VPN su Android è migliore di IPsec?

Non in modo assoluto. SSL VPN è spesso praticabile quando i profili OpenVPN sono già stabiliti. Per alcuni ambienti, un altro design di accesso remoto con IPsec, ZTNA o accesso basato su app potrebbe essere più adatto.

Perché la connessione funziona, ma nessuna applicazione interna?

In tal caso, il tunnel è solo una parte della verifica. Spesso mancano regole firewall, risoluzione DNS, routing o percorsi di ritorno. Nel Log Viewer dovrebbe essere verificato se il traffico dalla zona VPN incontra la regola prevista.