Naar de inhoud
Avanet

Legacy Remote Access IPsec voor SFOS 22 MR1 migreren

Sophos Firewall

Met SFOS 22.0 MR1 heeft Sophos het Legacy Remote Access IPsec VPN definitief uit het ondersteunde upgradepad gehaald. Firewalls waarop deze oude Remote-Access-IPsec-configuratie nog aanwezig is, kunnen niet naar SFOS 22.0 MR1 of nieuwere versies worden bijgewerkt.

Dit artikel beschrijft hoe men de oude configuratie voor een firmware-upgrade herkent, netjes documenteert, door een actuele Remote-Access-oplossing vervangt en pas daarna verwijdert. Voor de algemene upgradecontrole past daarnaast Sophos Firewall voor SFOS 22 Upgrade controleren.

Waar Legacy Remote Access IPsec over gaat

Sophos heeft door de jaren heen meerdere Remote-Access-methoden ondersteund. Daardoor is in veel omgevingen niet meteen duidelijk of een actuele IPsec-configuratie, een oude legacy-entry, SSL VPN of Sophos Connect wordt bedoeld.

Voor de SFOS-22-MR1-upgrade is vooral belangrijk:

  • Legacy Remote Access IPsec is het oude configuratietype dat de upgrade kan blokkeren.
  • Actueel Remote Access IPsec is het doelpad wanneer IPsec verder gebruikt moet worden.
  • SSL VPN kan een alternatief zijn wanneer IPsec in hotels, gastnetwerken of mobiele netwerken regelmatig wordt geblokkeerd.
  • ZTNA kan zinvol zijn wanneer geen volledig client-VPN meer nodig is, maar toegang tot afzonderlijke applicaties.

Het verschil is operationeel belangrijk. Een groene VPN-status of een werkende Sophos Connect Client bewijst niet automatisch dat er geen legacy-configuratie meer op de firewall aanwezig is.

Een belangrijke restore-situatie wordt makkelijk over het hoofd gezien: back-ups of geïmporteerde configuraties kunnen Legacy Remote Access IPsec bevatten, maar deze legacy-configuratie wordt niet automatisch gemigreerd. Na restore, hardwarevervanging of configuratie-import moet men dit punt daarom opnieuw controleren, ook wanneer de firewall eerder al opgeschoond leek.

Wanneer men moet migreren

De migratie moet voor de geplande SFOS-22-MR1-upgrade afgerond zijn. Deze overstap moet niet pas in het onderhoudsvenster voor de firmware-update worden uitgevoerd, omdat Remote Access vaak gebruikers, certificaten, MFA, DNS, firewallregels en clientconfiguraties raakt.

Typische aanleidingen:

  • Sophos Firewall moet naar SFOS 22.0 MR1 of nieuwer worden bijgewerkt.
  • De firmwarepagina of Sophos-documentatie wijst op Legacy Remote Access IPsec.
  • In de omgeving bestaan oude Sophos Connect-profielen die al jaren niet meer zijn gecontroleerd.
  • Gebruikers melden terugkerende Remote-Access-problemen na profiel- of clientwissels.
  • Remote Access moet sowieso opnieuw worden beoordeeld met MFA, Entra ID SSO, SSL VPN of ZTNA.

Wanneer Remote Access bedrijfskritisch is, moet de migratie als een eigen changeproject worden behandeld. Een firmware-upgrade is dan alleen de aanleiding, niet de volledige scope.

Voor de migratie documenteren

Eerst wordt de actuele toestand gedocumenteerd. Deze stap is belangrijker dan hij lijkt, omdat veel VPN-configuraties niet alleen uit een tunnelprofiel bestaan. Vaak hangen gebruikersgroepen, IP-pools, DNS-instellingen, firewallregels, NAT-uitzonderingen en clientbestanden eraan vast.

Legacy-configuratie in WebAdmin controleren

Voor de doelplanning moet men netjes vaststellen of werkelijk Legacy Remote Access IPsec betrokken is. De controle hoort niet alleen voor de firmware-upgrade, maar ook na restore, hardwarevervanging of configuratie-import.

Praktische werkwijze:

  1. Remote access VPN > IPsec (legacy) openen, als het menu-item in de geïnstalleerde SFOS-versie zichtbaar is.
  2. Controleren of Legacy Remote Access IPsec actief is of dat er nog configuratieobjecten aanwezig zijn.
  3. Remote access VPN > IPsec openen en de actuele Remote-Access-IPsec-configuratie apart documenteren.
  4. Authentication > Users en gebruikersgroepen controleren wanneer statische IP-adressen, lokale gebruikers of oude groepstoewijzingen werden gebruikt.
  5. Rules and policies > Firewall rules doorzoeken op regels van de zone VPN naar LAN, DMZ of WAN.
  6. Administration > Device access controleren om te zien of IPsec, VPN Portal, DNS of Ping vanuit de nodige zones bereikbaar zijn.
  7. De firmwarepagina opnieuw openen en controleren of er nog steeds een upgrade-blocker wordt getoond.

Wanneer het legacy-gedeelte niet meer zichtbaar is, maar de upgrade nog steeds wordt geblokkeerd, moet men niet op goed geluk objecten verwijderen. Dan zijn een screenshot van de melding, een actuele back-up en een navolgbare objectlijst belangrijker dan haastig opruimen in het onderhoudsvenster.

Minstens te documenteren:

GebiedWat gecontroleerd moet worden
Gebruikers en groepenWelke gebruikers mogen Remote Access gebruiken? Worden lokale gebruikers, AD, RADIUS of Entra ID gebruikt?
AuthenticatieWachtwoord, MFA, certificaat, Preshared Key of SSO-afhankelijkheden
IP-poolWelke adressen krijgen VPN-clients? Zijn er conflicten met LAN, WLAN, VLAN of andere VPN’s?
DNSWelke DNS-servers en domeinen worden aan clients uitgedeeld?
ToegangWelke interne netwerken, servers en diensten moeten bereikbaar zijn?
FirewallregelsWelke regels staan traffic van VPN naar LAN, DMZ of WAN toe?
ClientdistributieWaar bevinden zich actuele Sophos Connect-profielen of SSL-VPN-configuraties?
BeheerWie kan gebruikers informeren, profielen distribueren en fouten aannemen?

Wanneer er al problemen met routing of traffic door de tunnel zijn, moet men die niet ongecontroleerd naar de nieuwe configuratie meenemen. Voor de analyse helpt Sophos Firewall IPsec VPN Troubleshooting.

Doelpad kiezen

Er is niet een enkele juiste vervanging voor Legacy Remote Access IPsec. De keuze hangt af van wat gebruikers werkelijk nodig hebben en hoe de omgeving wordt beheerd.

Actueel Remote Access IPsec

Actueel Remote Access IPsec ligt voor de hand wanneer Sophos Connect met IPsec verder gebruikt moet worden en de omgeving daarmee in principe goed werkt. IPsec is vaak performant, maar kan in restrictieve externe netwerken opvallen door geblokkeerde UDP-poorten of speciale NAT-situaties.

Deze route past goed wanneer:

  • Sophos Connect al is uitgerold
  • gebruikers vooral met Windows of macOS werken
  • IPsec in het eerdere gebruik stabiel was
  • interne netwerken via klassieke firewallregels bereikbaar moeten zijn

De bestaande handleiding Sophos Connect Client op de Sophos Firewall configureren kan als basis dienen, maar moet worden afgestemd op actuele SFOS-versies en het eigen authenticatieontwerp.

SSL VPN

SSL VPN is zinvol wanneer Remote Access zo robuust mogelijk door verschillende externe netwerken moet werken. Afhankelijk van de omgeving kan SSL VPN eenvoudiger zijn, maar het brengt andere performance- en clientvragen mee. Voor Windows is er de handleiding Sophos Connect SSL VPN Client installeren.

Deze route past goed wanneer:

  • gebruikers vaak in hotels, gast-WLAN’s of externe bedrijfsnetwerken werken
  • IPsec-verbindingen herhaaldelijk op netwerkrestricties mislukken
  • bestaande SSL-VPN-processen al zijn ingericht
  • mobiele platformen of OpenVPN-clients van derden een rol spelen

ZTNA of Clientless Access

Wanneer gebruikers alleen afzonderlijke interne webapplicaties of gedefinieerde applicaties nodig hebben, moet men controleren of een klassiek full-tunnel-VPN nog de juiste oplossing is. ZTNA is geen directe vervanging voor elk VPN-scenario, maar kan in duidelijk afgebakende gebruikssituaties de betere architectuur zijn.

Het bestaande artikel Sophos ZTNA Gateway Connector is daarvoor een goed startpunt. Voor eenvoudige webtoegang kan ook Clientless Access relevant zijn, wanneer de eisen daarbij passen.

Nieuwe Remote-Access-configuratie opbouwen

De nieuwe configuratie moet parallel worden voorbereid voordat de oude wordt verwijderd. Het doel is niet om alle gebruikers tegelijk naar een ongeteste setup te verplaatsen.

Aanbevolen werkwijze:

  1. Doelvariant vastleggen: actueel Remote Access IPsec, SSL VPN, ZTNA of een combinatie.
  2. Nieuwe IP-pool kiezen en op overlappingen controleren.
  3. Authenticatiebron en MFA vastleggen.
  4. Benodigde gebruikers of groepen toewijzen.
  5. DNS-servers en interne domeinen definieren.
  6. Firewallregels voor de nieuwe VPN-bronnen aanmaken.
  7. Testprofiel voor enkele gebruikers maken.
  8. Verbinding via minstens twee verschillende netwerkaansluitingen testen.
  9. Pas daarna gebruikerscommunicatie en rollout plannen.

MFA moet bij Remote Access niet als optioneel detail worden behandeld. Wanneer het VPN wereldwijd bereikbaar is, horen MFA, nette gebruikersgroepen, logging en een review van de Device-Access-instellingen bij elkaar. Het artikel Sophos Firewall MFA inrichten behandelt de basis.

Coexistentie en terugvalroute plannen

De nieuwe Remote-Access-oplossing moet eerst naast de oude configuratie worden getest. Daardoor kan men gebruikers stapsgewijs migreren en bij fouten gericht teruggaan, zonder in hetzelfde onderhoudsvenster Remote Access, firewallregels, DNS, MFA en clientdistributie tegelijk te wijzigen.

Belangrijk is wel dat coexistentie netjes wordt gepland. De nieuwe configuratie mag niet dezelfde IP-pool, dezelfde onduidelijk benoemde firewallregels of dezelfde profielnamen gebruiken als de oude legacy-configuratie. Anders is later in de Log Viewer niet meer herkenbaar welke toegang een gebruiker werkelijk heeft verbonden.

Voor de pilot moeten deze punten vaststaan:

PuntAanbeveling
Pilotgroepenkele technisch bereikbare gebruikers met verschillende apparaten en netwerken
IP-pooleigen bereik zonder overlapping met LAN, WLAN, Site-to-Site VPN of oude Remote Access
Firewallregelseigen, duidelijk benoemde regels voor de nieuwe VPN-pool
Clientprofielennieuwe profielnaam, zodat gebruikers oude en nieuwe verbinding kunnen onderscheiden
Terugvalcriteriumvooraf definieren wanneer naar de oude verbinding wordt teruggegaan
Supportvensterhelpdesk of admin moet tijdens de pilot bereikbaar zijn

Een terugvalroute betekent niet dat de legacy-configuratie blijvend wordt doorgebruikt. Hij dient alleen om de pilot gecontroleerd af te breken als aanmelding, MFA, DNS, routing of centrale applicaties niet werken. Zodra de nieuwe oplossing stabiel is, moet de oude configuratie worden verwijderd en de upgrade-blocker opnieuw worden gecontroleerd.

Tests voor het verwijderen van de legacy-configuratie

De oude configuratie moet pas worden verwijderd wanneer de vervanging is getest. Anders is het upgradeprobleem wel opgelost, maar kan Remote Access in productie uitvallen.

Functionele test

Minstens controleren:

  • aanmelding met testgebruiker werkt
  • MFA of SSO wordt zoals verwacht gevraagd
  • client krijgt een passend VPN-IP
  • interne DNS-namen worden opgelost
  • centrale servers zijn bereikbaar
  • internetgedrag komt overeen met het ontwerp: Split Tunnel of Full Tunnel
  • afmelding en opnieuw aanmelden werken

Firewall- en routingtest

In de Log Viewer controleren of traffic uit de VPN-zone de verwachte regels raakt. Wanneer traffic wordt verworpen, moet men niet alleen de VPN-configuratie controleren, maar ook firewallregel, NAT, Route Precedence en retourpad. Voor afzonderlijke verbindingen is het artikel Firewallregel testen met Log Viewer, Policy Test en Packet Capture nuttig.

Clienttest

Bij Sophos Connect mogen bestaande profielen niet stilzwijgend worden overschreven. Beter is een kleine pilot met duidelijke feedback:

  • Importeert de client de nieuwe configuratie?
  • Wordt de oude verbinding voor gebruikers begrijpelijk vervangen?
  • Werkt de verbindingsopbouw na een herstart?
  • Zijn DNS-suffixen, routes en opgeslagen verbindingen correct?
  • Zijn er verschillen tussen Windows en macOS?

Voor een brede rollout moet ook de gebruikte clientversie worden gecontroleerd. Daarvoor past Sophos Connect Client Version controleren en veilig updaten.

Legacy-configuratie verwijderen

Wanneer de nieuwe oplossing productief is getest, kan de legacy-configuratie worden verwijderd. Vooraf moet nog een actuele back-up worden gemaakt. Dat is vooral belangrijk wanneer in dezelfde change ook firewallregels, gebruikersgroepen of authenticatieservers worden aangepast.

Praktische werkwijze:

  1. Verse back-up maken.
  2. Actieve gebruikers over het onderhoudsvenster informeren.
  3. Nieuwe Remote-Access-configuratie actief laten.
  4. Legacy Remote Access IPsec in WebAdmin verwijderen.
  5. Niet meer benodigde oude profielen, IP-pools en regels controleren.
  6. Firmwarepagina opnieuw openen en controleren of de upgrade-blocker verdwenen is.
  7. Resultaat documenteren.

Niet meteen alles verwijderen wat oud lijkt. Oude firewallregels, hosts of groepen kunnen ook voor Site-to-Site-VPN, SSL VPN of andere doeleinden worden gebruikt. Eerst afhankelijkheden controleren, daarna opschonen.

Na een restore of configuratie-import moet de controle worden herhaald. Een back-up kan oude legacy-objecten bevatten zonder dat daaruit automatisch een actuele Remote-Access-IPsec-configuratie ontstaat. Voor beheer en documentatie is daarom doorslaggevend of de productieve doelconfiguratie werkelijk opnieuw is opgebouwd, getest en uitgerold.

Troubleshooting

Upgrade blijft geblokkeerd

Wanneer de upgrade geblokkeerd blijft hoewel de zichtbare legacy-configuratie is verwijderd, eerst de firewall opnieuw laden of het firmwaregedeelte opnieuw openen. Daarna controleren of werkelijk alle Legacy-Remote-Access-objecten zijn verwijderd. Wanneer onduidelijk blijft welk object blokkeert, moet een Sophos Support Case met screenshot van de upgrademelding en actuele back-up worden voorbereid.

Na restore komt de legacy-vraag terug

Na restore, hardwarevervanging of import van een oude configuratie moet men Remote Access opnieuw controleren. Doorslaggevend is niet of de eerdere change ooit was afgerond, maar wat in de actueel draaiende configuratie aanwezig is. Oude back-ups kunnen historische Remote-Access-objecten terugbrengen of een nieuwe controle van het upgradepad uitlokken.

Gebruikers kunnen zich niet aanmelden

Bij aanmeldproblemen eerst authenticatie, MFA, gebruikersgroep en VPN-policy controleren. Wanneer RADIUS, AD of Entra ID betrokken is, moet men de serververbinding los van het VPN testen. Een VPN-probleem is niet altijd een IPsec-probleem.

Verbinding staat, maar interne systemen zijn niet bereikbaar

Dan ligt de oorzaak vaak bij firewallregels, NAT, DNS of routing. Controleren of de client een passend VPN-IP krijgt, of interne namen correct worden opgelost en of de traffic in de Log Viewer de verwachte regel raakt.

Afzonderlijke netwerken werken, andere niet

In dit geval spelen vaak Split-Tunnel-netwerken, IPsec-routes, statische routes of ontbrekende retourroutes mee. Bij IPsec-scenario’s is IPsec Route op Sophos Firewall een zinvol vervolgartikel.

Checklist

Voor de rollout

  • Legacy Remote Access IPsec geïdentificeerd
  • gebruikers, groepen, IP-pool, DNS en firewallregels gedocumenteerd
  • doelpad gekozen: actueel IPsec, SSL VPN, ZTNA of combinatie
  • MFA en authenticatie gecontroleerd
  • Device Access voor IPsec, VPN Portal, DNS en Ping gecontroleerd
  • coexistentie en terugvalcriterium gedefinieerd
  • testgebruikers gedefinieerd
  • back-up gemaakt

Tijdens de rollout

  • nieuwe configuratie met pilotgebruikers getest
  • clientprofielen verdeeld
  • Log Viewer en betrokken firewallregels gecontroleerd
  • terugvalroute gecommuniceerd
  • gebruikersfeedback verzameld

Na de migratie

  • legacy-configuratie verwijderd
  • upgrade-blocker opnieuw gecontroleerd
  • restore- en importscenario gedocumenteerd
  • oude profielen en regels op afhankelijkheden gecontroleerd
  • documentatie bijgewerkt
  • firmware-upgrade pas daarna gepland

FAQ

Moet Legacy Remote Access IPsec voor SFOS 22 MR1 worden verwijderd?

Ja. Wanneer deze legacy-configuratie nog aanwezig is, kan de firewall niet naar SFOS 22.0 MR1 of nieuwer worden bijgewerkt.

Is actueel Remote Access IPsec ook getroffen?

Nee, de upgrade-blocker heeft betrekking op Legacy Remote Access IPsec. Toch moet men de actuele Remote-Access-configuratie voor een major upgrade testen en documenteren.

Is SSL VPN de betere vervanging?

Niet algemeen. SSL VPN is vaak toleranter tegenover restrictieve externe netwerken. IPsec kan daarentegen performanter zijn. Doorslaggevend zijn gebruikersapparaten, netwerkomgevingen, authenticatie, MFA en beheerprocessen.

Kan men de oude configuratie gewoon verwijderen?

Technisch kan ze worden verwijderd, maar praktisch moet eerst een vervanging zijn getest en een back-up zijn gemaakt. Anders kan Remote Access voor gebruikers uitvallen.

Wat gebeurt er na een restore met oude legacy-configuratie?

Na een restore of configuratie-import moet men Legacy Remote Access IPsec opnieuw controleren. Zulke configuraties kunnen aanwezig zijn, maar worden niet automatisch naar de actuele Remote-Access-IPsec-configuratie gemigreerd.