Zum Inhalt springen
Avanet

Sophos SSL VPN auf Android einrichten

Sophos Firewall

Sophos Connect unterstützt Android nicht direkt für IPsec oder SSL VPN. Wenn ein Android-Smartphone oder Android-Tablet per Sophos Firewall Remote Access verbunden werden soll, braucht es deshalb einen OpenVPN-kompatiblen Client. In vielen Umgebungen ist OpenVPN Connect der naheliegende Standard, weil die Sophos Firewall eine .ovpn-Konfiguration für mobile Clients bereitstellt.

Der Artikel beschreibt den praktischen Ablauf für Sophos SSL VPN auf Android: App installieren, .ovpn-Konfiguration beziehen, Profil importieren, Verbindung testen und typische Fehler eingrenzen. Für die grundsätzliche Entscheidung zwischen Sophos Connect, SSL VPN, IPsec, mobilen Clients und ZTNA passt zuerst Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?.

Wann SSL VPN auf Android sinnvoll ist

SSL VPN auf Android ist sinnvoll, wenn mobile Benutzer gelegentlich auf interne Systeme zugreifen müssen und dafür ein klassisches VPN-Profil ausreicht.

Typische Beispiele:

  • Zugriff auf interne Webanwendungen
  • Adminzugriff auf wenige Systeme über ein Tablet
  • Zugriff auf interne Tools über definierte Apps
  • temporärer Zugriff ohne verwalteten Notebook-Client
  • Übergangslösung, wenn ZTNA oder App-Proxy noch nicht verfügbar ist

Für dauerhaften Zugriff auf viele interne Systeme ist ein Mobilgerät oft nicht die beste Zielplattform. Dann sollte geprüft werden, ob ein verwalteter Windows- oder macOS-Client mit Sophos Connect, ein engerer ZTNA-Zugriff oder ein anderes Remote-Access-Design besser passt.

Einordnung zu anderen Clients

Diese Anleitung gilt für Sophos Firewall mit SFOS und Android-Geräte. Je nach Plattform oder Ausgangslage passt ein anderer Einstieg:

SituationPassender Einstieg
SSL VPN auf Android einrichtenDieser Artikel
SSL VPN mit Sophos Connect auf Windows einrichtenSophos SSL VPN mit Sophos Connect auf Windows einrichten
SSL VPN mit Sophos Connect auf macOS einrichtenSophos SSL VPN mit Sophos Connect auf macOS einrichten
SSL VPN auf iPhone und iPad einrichtenSophos SSL VPN auf iPhone und iPad einrichten
Sophos Connect auf Windows installierenSophos Connect Client auf Windows installieren
Sophos Connect auf macOS installierenSophos Connect Client auf macOS installieren

Wichtig ist die Abgrenzung: Sophos Connect ist für Android nicht der direkte SSL-VPN-Client. Wenn mobile Geräte unterstützt werden sollen, sollte intern klar definiert sein, welcher OpenVPN-kompatible Client verwendet wird, woher die Profile kommen und wer bei Gerätewechseln unterstützt.

Voraussetzungen

Vor der Einrichtung sollten diese Punkte geklärt sein:

  • Sophos Firewall mit eingerichteter SSL-VPN-Remote-Access-Konfiguration
  • Benutzer mit Berechtigung für SSL VPN
  • Zugriff auf das VPN Portal oder administrativ bereitgestellte .ovpn-Datei
  • OpenVPN-kompatibler Client auf Android
  • MFA/OTP eingerichtet, falls Remote Access damit geschützt wird
  • gültiges Zertifikat für VPN Portal und Firewall-Zugang, wenn möglich
  • Firewall-Regeln für Traffic aus der VPN-Zone
  • geklärtes Split-Tunnel- oder Full-Tunnel-Design
  • Supportprozess für Gerätewechsel, verlorene Geräte und alte Profile

Vor einem Upgrade auf SFOS 22.0 MR1 oder neuer sollte zusätzlich geprüft werden, ob noch alte Remote-Access-IPsec-Konfigurationen vorhanden sind. SSL VPN ist davon nicht direkt betroffen, aber viele Umgebungen bewerten Remote Access in diesem Moment neu. Der Ablauf steht in Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren.

Firewall und VPN Portal vorbereiten

Die Android-Einrichtung ist nur der letzte Schritt. Vorher muss die Firewall-Konfiguration stimmen.

Auf der Sophos Firewall sollten diese Punkte geprüft werden:

  1. Remote access VPN öffnen.
  2. SSL VPN für die benötigten Benutzer oder Gruppen konfigurieren.
  3. VPN-IP-Pool ohne Überschneidung mit LAN, WLAN, VLANs, Site-to-Site-VPNs oder typischen Heimnetzen verwenden.
  4. DNS-Server und Domain-Suffixe passend setzen, wenn interne Namen genutzt werden.
  5. MFA für Remote Access aktivieren und mit Testbenutzer prüfen.
  6. Firewall-Regel von VPN in die benötigte Zielzone erstellen.
  7. Logging für die Einführungsphase aktivieren.
  8. VPN Portal über Administration > Device access nur so breit freigeben wie nötig.

Der vollständige firewallseitige Ablauf steht in Sophos Firewall SSL VPN Remote Access einrichten.

Das VPN Portal ist ein öffentlich erreichbarer Einstiegspunkt. Wenn es aus dem Internet erreichbar sein muss, sollten Zertifikat, MFA, Länder-/Quellbegrenzung und Logprüfung bewusst geplant werden. Für die Härtung passt Device Access und Local Service ACL auf Sophos Firewall.

1. OpenVPN Connect installieren

OpenVPN Connect aus Google Play installieren: OpenVPN Connect.

Wenn in der Umgebung ein anderer OpenVPN-kompatibler Client standardisiert ist, sollte diese Entscheidung dokumentiert werden. Problematisch wird es, wenn Benutzer parallel verschiedene VPN-Apps, alte Profile und unterschiedliche Anleitungen verwenden.

Für Support und Betrieb sollte festgelegt werden:

  • welcher Client unterstützt wird
  • welche App-Version mindestens erwartet wird
  • ob Benutzer die App selbst installieren dürfen
  • wie Profile verteilt und zurückgezogen werden
  • wie verlorene oder ersetzte Geräte behandelt werden

2. VPN Portal öffnen

Auf dem Android-Gerät das VPN Portal der Sophos Firewall im Browser öffnen und mit dem VPN-Benutzer anmelden. In den meisten Umgebungen ist der normale Android-Browser oder Chrome ausreichend. Wichtig ist, dass die heruntergeladene .ovpn-Datei anschliessend an OpenVPN Connect übergeben werden kann.

Wenn das VPN Portal mit einem ungültigen oder nicht vertrauenswürdigen Zertifikat geöffnet wird, sollte die Ursache behoben werden. Eine dauerhafte Browser-Ausnahme ist für produktiven Remote Access kein guter Betriebsstandard.

Bei MFA sollte man den Ablauf mit einem echten Testbenutzer prüfen. Besonders wichtig ist, ob der zweite Faktor in einem separaten Feld abgefragt wird oder ob Passwort und OTP-Code in der erwarteten Form eingegeben werden müssen. Die Grundlagen stehen in MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren.

3. OVPN-Konfiguration herunterladen

Im VPN Portal in den Bereich SSL VPN oder VPN wechseln und die Konfiguration für Android/iOS herunterladen. Je nach SFOS-Version und Portalansicht heisst der Link sinngemäss Download configuration for Android/iOS.

Die heruntergeladene Datei hat normalerweise die Endung .ovpn. Diese Datei ist benutzerbezogen und sollte nicht an andere Benutzer weitergegeben werden.

Wichtig:

  • Die Datei sollte aus der aktuellen Firewall-Konfiguration stammen.
  • Alte Dateien aus E-Mail-Archiven, Chatverläufen oder Download-Ordnern sollten nicht wiederverwendet werden.
  • Nach Änderungen an SSL-VPN-Policy, Zertifikat, Gateway, DNS oder Benutzergruppe sollte das Profil neu geladen werden.
  • Wenn ein Benutzer das Unternehmen verlässt oder ein Gerät verloren geht, müssen Benutzerzugriff, Gruppenmitgliedschaft und Profilverteilung geprüft werden.

4. Profil in OpenVPN Connect importieren

Wenn Android den Import nicht automatisch anbietet, kann die .ovpn-Datei über die Teilen-Funktion oder über den Datei-Import in OpenVPN Connect geöffnet werden. OpenVPN Connect zeigt danach das neue Profil an und fragt beim ersten Einrichten nach Berechtigung zum Anlegen einer VPN-Verbindung.

Diese Android-Bestätigung ist notwendig, damit die App eine VPN-Verbindung erstellen darf. Wenn die Bestätigung abgelehnt wird, erscheint das Profil zwar eventuell in der App, die Verbindung kann aber nicht sauber aufgebaut werden.

Bei mehreren Profilen sollte der Name eindeutig sein, zum Beispiel mit Standort, Umgebung oder Firmenname. Mehrere fast gleich benannte Profile sind ein häufiger Supportgrund.

5. VPN-Verbindung aufbauen

Das importierte Profil aktivieren und mit dem VPN-Benutzer anmelden. Wenn MFA oder OTP aktiv ist, muss der zweite Faktor gemäss Firewall-Konfiguration bestätigt werden.

Nach erfolgreichem Aufbau sollte nicht nur die OpenVPN-App als verbunden angezeigt werden. Entscheidend ist, ob die geplanten internen Ziele erreichbar sind und ob der Traffic auf der Firewall die richtige Regel trifft.

Nach der Einrichtung prüfen

Mindestens diese Punkte sollten mit einem Testbenutzer geprüft werden:

  • OpenVPN Connect zeigt die Verbindung als verbunden an.
  • Android zeigt den VPN-Status in der Statusleiste oder in den Netzwerkeinstellungen.
  • Benutzer erhält eine IP-Adresse aus dem erwarteten SSL-VPN-Pool.
  • Interne DNS-Namen werden korrekt aufgelöst.
  • Benötigte Server, Webanwendungen oder Dienste sind erreichbar.
  • Internetverhalten entspricht dem Design: Split Tunnel oder Full Tunnel.
  • Im Log Viewer ist die erwartete Firewall-Regel für Traffic aus der VPN-Zone sichtbar.
  • MFA wird wie geplant abgefragt.
  • Verbindung nach Flugmodus, WLAN-Wechsel oder Mobilfunkwechsel erneut testen.
  • Alte Profile wurden entfernt oder klar als veraltet markiert.

Wenn die Verbindung steht, aber kein Zugriff funktioniert, liegt die Ursache oft nicht beim mobilen Client, sondern bei Firewall-Regeln, DNS, Routing oder NAT. Für die Analyse passt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Manuelle Verteilung oder MDM?

Bei wenigen Android-Geräten kann der manuelle Import über VPN Portal, Download-Ordner und OpenVPN Connect ausreichen. Sobald mehrere Benutzer, verwaltete Smartphones oder regelmässige Gerätewechsel beteiligt sind, sollte die Profilverteilung aber bewusst geplant werden. Sonst bleiben alte .ovpn-Dateien in Downloads, Chats, E-Mails oder privaten Cloudspeichern liegen und werden bei Supportfällen später wiederverwendet.

VarianteSinnvoll, wennWorauf man achten muss
Manueller Importwenige Geräte, Pilotgruppe, gelegentliche Nutzungklare Anleitung, aktuelles Profil, MFA-Test und Entfernung alter Profile
Verteilung über MDM oder Endpoint-Managementverwaltete Android-Geräte, viele Benutzer, wiederkehrende ÄnderungenApp-Bereitstellung, Profilversion, Geräteverlust, Rücknahme alter Profile und Supportprozess

Wichtig ist die Rücknahme. Wenn ein Android-Gerät ersetzt wird, ein Benutzer austritt oder eine SSL-VPN-Policy geändert wird, reicht es nicht, ein neues Profil bereitzustellen. Alte Profile, Gruppenmitgliedschaften, gespeicherte Zugangsdaten und eventuell vorhandene Dateikopien müssen ebenfalls geprüft werden.

Betrieb und Sicherheit

Mobile VPN-Profile brauchen klare Betriebsregeln. Android-Geräte wechseln häufig zwischen WLAN, Mobilfunk, Hotspots und Captive Portals. Zusätzlich gehen Mobilgeräte leichter verloren oder werden schneller ersetzt als klassische Firmen-Notebooks.

Gute Praxis:

  • OpenVPN Connect regelmässig aktualisieren.
  • MFA für Remote Access aktivieren und testen.
  • VPN-Gruppen regelmässig prüfen.
  • VPN Portal über Device Access und Local Service ACL begrenzen, soweit möglich.
  • Firewall-Regeln für die VPN-Zone eng halten und loggen.
  • Alte .ovpn-Dateien und veraltete Profile entfernen.
  • Gerätewechsel und verlorene Geräte im Supportprozess berücksichtigen.
  • Bei längerer Log-Aufbewahrung Syslog oder zentrale Auswertung einplanen.

Für Logdateien und Service-Logs ist Sophos Firewall Troubleshooting: Services und Logs hilfreich.

Typische Fehler

OVPN-Datei lässt sich nicht öffnen

Zuerst prüfen, ob OpenVPN Connect installiert ist und ob die Datei wirklich als .ovpn vorliegt. Danach die Datei erneut aus dem VPN Portal herunterladen oder über die Teilen-Funktion an OpenVPN Connect übergeben.

Wenn die Datei über MDM, E-Mail oder Dateifreigabe verteilt wird, sollte geprüft werden, ob die Datei unterwegs verändert, umbenannt oder blockiert wurde.

Import funktioniert, Verbindung aber nicht

Dann ist häufig die Android-Berechtigung für die VPN-Konfiguration nicht sauber erteilt oder das Profil passt nicht zur aktuellen Firewall-Konfiguration. Profil löschen, aktuelle .ovpn-Datei neu beziehen und erneut importieren.

Anmeldung schlägt fehl

Benutzer, Passwort, MFA, Gruppenmitgliedschaft und Authentifizierungsserver prüfen. Wenn AD, RADIUS oder Microsoft Entra ID SSO beteiligt ist, sollte die Authentifizierung getrennt vom VPN getestet werden. Ein Loginproblem ist nicht automatisch ein OpenVPN-Problem.

Verbindung steht, aber interne Systeme sind nicht erreichbar

DNS, Firewall-Regeln, Routing, NAT und Rückweg prüfen. Im Log Viewer sollte Traffic aus der VPN-Zone sichtbar sein. Wenn keine Logs erscheinen, erreicht der Traffic die erwartete Regel wahrscheinlich nicht oder Logging ist deaktiviert.

Bei einzelnen internen Systemen ist oft nicht das VPN selbst defekt, sondern eine fehlende Firewall-Regel, ein falscher DNS-Name oder eine Rückroute im Zielnetz.

Wenn kleine Zugriffe funktionieren, grössere Dateiübertragungen oder bestimmte Anwendungen aber hängen, sollte zusätzlich MTU/MSS geprüft werden: Sophos Firewall MTU und MSS bei VPN-Problemen prüfen.

Interne Namen werden nicht aufgelöst

DNS-Server und Suchdomain in der SSL-VPN-Konfiguration prüfen. Danach testen, ob interne Systeme per IP-Adresse erreichbar sind. Wenn IP funktioniert, Name aber nicht, liegt die Ursache wahrscheinlich bei DNS, nicht bei der VPN-Verbindung selbst.

Verbindung bricht beim Netzwechsel ab

Bei mobilen Geräten sind WLAN-Wechsel, Mobilfunkwechsel, Captive Portals und Energiesparmechanismen typische Ursachen. Mit einem zweiten Netzwerk testen und prüfen, ob das Verhalten reproduzierbar ist.

Wenn Benutzer häufig zwischen Netzen wechseln, sollte geprüft werden, ob die Anwendung mit kurzen VPN-Unterbrüchen umgehen kann oder ob ein anderes Zugriffsmodell besser passt.

Checkliste

Vor dem Rollout

  • Unterstützter OpenVPN-Client definiert.
  • SSL-VPN-Benutzergruppe geprüft.
  • MFA für Remote Access getestet.
  • VPN Portal mit gültigem Zertifikat erreichbar.
  • Device Access und Zugriff aus dem Internet bewusst begrenzt.
  • Firewall-Regeln für VPN-Zone erstellt und geloggt.
  • Split Tunnel oder Full Tunnel dokumentiert.
  • Profilverteilung und Gerätewechselprozess geklärt.

Nach dem Import

  • Profil in OpenVPN Connect sichtbar.
  • Android-VPN-Berechtigung bestätigt.
  • Verbindung mit Testbenutzer aufgebaut.
  • DNS, interne Ziele und Firewall-Regel-Match geprüft.
  • WLAN, Mobilfunk und Netzwechsel getestet.
  • Alte Profile entfernt.

Im Betrieb

  • OpenVPN-App und Android aktuell halten.
  • Benutzergruppen regelmässig prüfen.
  • Alte Profile bei Austritt oder Geräteverlust entfernen.
  • VPN-Logs bei Supportfällen früh prüfen.
  • Bei wiederkehrenden mobilen Problemen ZTNA oder appbasierten Zugriff prüfen.

FAQ

Unterstützt Sophos Connect SSL VPN auf Android?

Nein. Sophos Connect unterstützt Android nicht direkt für IPsec und SSL VPN. Auf Android wird ein OpenVPN-kompatibler Client verwendet.

Muss OpenVPN Connect verwendet werden?

Nicht zwingend. OpenVPN Connect ist aber ein gängiger Standard für OpenVPN-Profile auf Android. Wenn ein anderer Client verwendet wird, sollte dieser intern klar dokumentiert und unterstützt werden.

Funktioniert MFA mit SSL VPN auf Android?

Ja, wenn MFA auf der Sophos Firewall für Remote Access korrekt eingerichtet ist. Je nach Konfiguration wird der zweite Faktor beim Login oder über die Kennworteingabe verarbeitet.

Ist SSL VPN auf Android besser als IPsec?

Nicht pauschal. SSL VPN ist oft praktikabel, wenn OpenVPN-Profile bereits etabliert sind. Für manche Umgebungen kann ein anderes Remote-Access-Design mit IPsec, ZTNA oder appbasiertem Zugriff besser passen.

Warum funktioniert die Verbindung, aber keine interne Anwendung?

Dann ist der Tunnel nur ein Teil der Prüfung. Häufig fehlen Firewall-Regeln, DNS-Auflösung, Routing oder Rückwege. Im Log Viewer sollte geprüft werden, ob Traffic aus der VPN-Zone die erwartete Regel trifft.