Zum Inhalt springen
Avanet

Sophos Firewall Remote Access unter Linux einrichten

Für Windows und macOS gibt es mit Sophos Connect einen eigenen Client für IPsec und SSL VPN. Für Linux bietet Sophos keinen eigenen Sophos-Connect-Client an. Wer sich unter Linux mit Sophos Firewall Remote Access verbinden möchte, nutzt stattdessen Standard-Werkzeuge: den regulären OpenVPN-Client für SSL VPN oder NetworkManager mit dem strongSwan-Plugin für IPsec.

Dieser Artikel beschreibt beide Wege und ordnet ein, wann welcher Pfad sinnvoll ist. Für die grundsätzliche Entscheidung zwischen IPsec und SSL VPN passt zuerst Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?. Für die firewallseitige Einrichtung von SSL VPN Remote Access ist Sophos Firewall SSL VPN Remote Access einrichten die passende Grundlage.

Einordnung zu anderen Clients

Linux ist damit kein Sonderfall im negativen Sinn, sondern folgt demselben Muster wie mobile Plattformen: Statt eines herstellereigenen Clients kommen etablierte Standardwerkzeuge zum Einsatz, die mit der von der Firewall bereitgestellten Konfigurationsdatei arbeiten.

Voraussetzungen

  • Sophos Firewall mit eingerichtetem SSL-VPN-Remote-Access oder IPsec-Remote-Access.
  • Benutzerkonto mit VPN-Berechtigung und, falls aktiviert, funktionierender MFA.
  • Für SSL VPN: OpenVPN-Client-Paket auf dem Linux-System, zum Beispiel openvpn unter Debian/Ubuntu oder die entsprechende Distribution-spezifische Paketquelle.
  • Für IPsec: NetworkManager mit dem strongSwan-Plugin, zum Beispiel network-manager-strongswan unter Debian/Ubuntu.
  • Zugriff auf das VPN Portal oder eine administrativ bereitgestellte Konfigurationsdatei.

⚠️ Für Linux gibt es keinen offiziellen Sophos-Connect-Client. Anleitungen oder Downloads, die einen “Sophos Connect für Linux” bewerben, sind nicht Teil des offiziellen Sophos-Angebots und sollten nicht ungeprüft installiert werden.

SSL VPN mit OpenVPN einrichten

Der offiziell von Sophos dokumentierte Weg für Linux ist SSL VPN Remote Access mit dem klassischen OpenVPN-Client.

1. OpenVPN-Client installieren

Auf den meisten Distributionen reicht das Standardpaket des Paketmanagers, zum Beispiel:

sudo apt install openvpn

Wer eine grafische Oberfläche bevorzugt, kann zusätzlich das NetworkManager-OpenVPN-Plugin installieren, zum Beispiel network-manager-openvpn-gnome, und die Verbindung darüber importieren statt per Terminal zu starten.

2. Konfigurationsdatei herunterladen

  1. Das VPN Portal der Sophos Firewall im Browser öffnen.
  2. Mit dem VPN-Benutzer anmelden.
  3. Unter der Konfigurationsauswahl Linux wählen.
  4. Die .ovpn-Datei herunterladen und sicher ablegen.

3. Verbindung über das Terminal starten

sudo openvpn --config sophos-vpn.ovpn

Nach dem Start fragt OpenVPN je nach Konfiguration Benutzername und Passwort ab, danach gegebenenfalls einen MFA-Verifizierungscode. Die Verbindung bleibt bestehen, solange der Prozess läuft. Wird das Terminalfenster geschlossen, wird auch der Tunnel getrennt.

Für einen dauerhafteren Betrieb ohne offenes Terminal kann OpenVPN als systemd-Dienst eingerichtet oder die Verbindung über NetworkManager verwaltet werden.

4. Verbindung über NetworkManager importieren (optional)

  1. Netzwerkeinstellungen öffnen.
  2. Eine neue VPN-Verbindung hinzufügen und Import aus Datei wählen.
  3. Die heruntergeladene .ovpn-Datei auswählen.
  4. Benutzername speichern, falls gewünscht; Passwort nicht dauerhaft im Klartext hinterlegen, wenn MFA aktiv ist.
  5. Verbindung über die grafische Oberfläche starten und Zugangsdaten beziehungsweise MFA-Code eingeben.

Diese Variante ist im Alltag praktischer, weil sie sich wie jede andere Netzwerkverbindung ein- und ausschalten lässt, ohne ein Terminal offen zu halten.

IPsec mit NetworkManager-strongSwan (Alternative)

Wenn IPsec statt SSL VPN verwendet werden soll, ist auf Linux das NetworkManager-strongSwan-Plugin der gängige Weg. Diese Variante ist auf Linux weniger standardisiert als der OpenVPN-Pfad und sollte vor allem für IKEv2-Remote-Access-Szenarien eingeplant werden.

1. Plugin installieren

sudo apt install network-manager-strongswan

Der genaue Paketname kann je nach Distribution abweichen.

2. Verbindungsart auf der Firewall prüfen

Das strongSwan-Plugin für NetworkManager unterstützt IKEv2. Auf der Firewall muss der Remote-Access-IPsec-Profil entsprechend auf IKEv2 eingerichtet sein, nicht auf das ältere IKEv1. Für die Authentifizierung unterstützt das Plugin sowohl zertifikatsbasierte Verfahren als auch EAP, zum Beispiel Benutzername und Passwort. Bei Preshared-Key-Authentifizierung verlangt das Plugin ein ausreichend starkes Secret; kurze oder einfache PSKs sollten grundsätzlich vermieden werden.

3. Verbindung anlegen

  1. Netzwerkeinstellungen öffnen.
  2. Eine neue VPN-Verbindung des Typs IPsec/IKEv2 (strongswan) hinzufügen.
  3. Gateway-Adresse der Sophos Firewall eintragen.
  4. Authentifizierungsmethode passend zur Firewall-Konfiguration wählen: Zertifikat oder Benutzername/Passwort (EAP).
  5. Bei zertifikatsbasierter Authentifizierung das Serverzertifikat beziehungsweise die CA hinterlegen, die von der Firewall verwendet wird.
  6. Verbindung speichern und testen.

Weil dieser Pfad stärker von Distribution, Plugin-Version und der genauen IPsec-Konfiguration auf der Firewall abhängt, ist er fehleranfälliger als der OpenVPN-Weg. Für die meisten Umgebungen ist SSL VPN über OpenVPN deshalb der robustere erste Ansatz für Linux-Clients.

Nach der Einrichtung prüfen

  • Verbindungsstatus in OpenVPN beziehungsweise NetworkManager zeigt eine aktive Sitzung.
  • Interne DNS-Namen lösen über den VPN-Tunnel auf.
  • Ein erlaubtes internes Ziel ist erreichbar, ein nicht erlaubtes Ziel bleibt blockiert.
  • Im Log Viewer der Firewall erscheint Traffic aus der VPN-Zone mit der erwarteten Firewall-Regel.
  • Bei MFA: Der Verifizierungscode wird bei jeder neuen Verbindung korrekt abgefragt.
  • Nach einem Neustart des Linux-Clients wird die Verbindung entweder sauber neu aufgebaut oder bewusst manuell gestartet, je nachdem wie sie eingerichtet wurde.

Wenn die Verbindung steht, aber kein Traffic durchkommt, hilft Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Typische Fehler

  • Nach einer fremden “Sophos Connect für Linux”-Anleitung gesucht: Diesen Client gibt es offiziell nicht. Stattdessen OpenVPN oder NetworkManager-strongSwan verwenden.
  • Terminalfenster geschlossen und Verbindung verloren: Bei direktem openvpn --config-Aufruf trennt ein geschlossenes Terminal den Tunnel. Für Dauerbetrieb NetworkManager-Import oder einen systemd-Dienst verwenden.
  • Alte .ovpn-Datei nach Firewall-Änderung weiterverwendet: Nach Änderungen an Gateway, Zertifikat, VPN-Portal-Port oder Authentifizierung muss die Konfigurationsdatei neu heruntergeladen werden.
  • IKEv1 statt IKEv2 auf der Firewall konfiguriert: Das NetworkManager-strongSwan-Plugin unterstützt nur IKEv2. Firewallseitiges Profil prüfen und bei Bedarf anpassen.
  • Zu kurzer Preshared Key: Neuere Plugin-Versionen erzwingen ein Mindestmass an PSK-Länge. Ein zu kurzes Secret führt zu einem Verbindungsfehler, nicht zu einer unsicheren, aber funktionierenden Verbindung.
  • Falsches Zertifikat oder falsche CA hinterlegt: Bei zertifikatsbasierter IPsec-Authentifizierung muss exakt die CA hinterlegt sein, die auch die Firewall verwendet. Ein leicht abweichendes oder abgelaufenes Zertifikat führt zu einem Verbindungsabbruch ohne aussagekräftige Fehlermeldung im Client.
  • MFA-Code falsch zugeordnet: Bei OpenVPN mit MFA muss der Verifizierungscode im richtigen Feld und zur richtigen Zeit eingegeben werden. Bei Unsicherheit die Anmeldereihenfolge mit einem funktionierenden Windows- oder macOS-Client vergleichen.

FAQ

Gibt es einen offiziellen Sophos-Connect-Client für Linux?

Nein. Sophos Connect ist auf Windows und macOS verfügbar. Für Linux werden stattdessen der Standard-OpenVPN-Client für SSL VPN oder NetworkManager mit dem strongSwan-Plugin für IPsec verwendet.

Welcher Weg ist unter Linux einfacher: SSL VPN oder IPsec?

SSL VPN über den offiziell von Sophos dokumentierten OpenVPN-Weg ist in der Regel einfacher und robuster. IPsec über NetworkManager-strongSwan funktioniert, hängt aber stärker von Distribution, Plugin-Version und exakter Firewall-Konfiguration ab.

Warum trennt sich die VPN-Verbindung, wenn ich das Terminal schliesse?

Wenn OpenVPN direkt mit sudo openvpn --config gestartet wird, läuft die Verbindung im Vordergrundprozess des Terminals. Für einen von der Terminal-Sitzung unabhängigen Betrieb sollte die Verbindung über NetworkManager importiert oder als Dienst eingerichtet werden.

Unterstützt NetworkManager-strongSwan IKEv1?

Nein. Das Plugin unterstützt nur IKEv2. Die Remote-Access-IPsec-Konfiguration auf der Sophos Firewall muss entsprechend auf IKEv2 eingerichtet sein.

Muss die .ovpn-Datei nach einer Firewall-Änderung neu heruntergeladen werden?

Ja, wenn sich Gateway, Zertifikat, VPN-Portal-Port oder Authentifizierung geändert haben. Eine alte Konfigurationsdatei verwendet sonst veraltete Verbindungsdetails.