Naar de inhoud
Avanet

Sophos Connect op Sophos Firewall configureren

Sophos Connect is in veel omgevingen de standaardclient voor Remote Access met Sophos Firewall. De werkelijke kwaliteit van de oplossing wordt echter niet pas op Windows of macOS bepaald, maar op de firewall: gebruikersrechten, IP-pool, DNS, authenticatie, MFA, firewallregels en latere profieldistributie moeten op elkaar aansluiten.

Dit artikel beschrijft de planning en configuratie aan firewallzijde voor Sophos Connect, vooral voor IPsec Remote Access en profieluitrol. Voor SSL VPN wordt de eigenlijke Remote Access policy beschreven in Sophos Firewall SSL VPN Remote Access instellen. Voor de basiskeuze tussen IPsec, SSL VPN, mobiele clients en ZTNA past eerst Sophos Connect of SSL VPN: welke Remote Access-oplossing past?.

Welk artikel past?

Afhankelijk van de taak is een ander startpunt zinvol:

Deze scheiding is belangrijk, omdat Sophos Connect meerdere zaken raakt: IPsec-configuratie, SSL VPN-configuratie, VPN Portal, provisioning, authenticatie, clientversie en firewallregels.

Vereisten

  • Sophos Firewall met ondersteunde SFOS-versie
  • admin-toegang tot de WebAdmin-interface
  • gedefinieerde gebruikers of groepen voor Remote Access
  • vrije IP-adresreeks voor VPN-clients
  • interne DNS-servers als interne namen moeten worden opgelost
  • MFA-concept voor Remote Access
  • duidelijk vastgelegde doelnetwerken en diensten die via VPN bereikbaar moeten zijn
  • heldere procedure voor profieldistributie, profielwijzigingen en clientupdates

Als de firewall naar SFOS 22.0 MR1 of nieuwer wordt bijgewerkt, moet vooraf worden gecontroleerd of Legacy Remote Access IPsec nog aanwezig is. Deze oude configuratie kan de upgrade blokkeren. De procedure staat in Legacy Remote Access IPsec vóór SFOS 22 MR1 migreren.

In actuele SFOS-versies staat de IPsec Remote Access-configuratie onder Remote access VPN > IPsec. In oudere interfaces of oudere handleidingen vindt men nog paden zoals VPN > Sophos Connect Client. Bij bestaande screenshots en oudere klantomgevingen kan de benaming daarom afwijken.

Voor de configuratie plannen

Voor het inschakelen moet kort worden gedocumenteerd hoe Remote Access later wordt beheerd. Dat voorkomt typische fouten zoals overlappende IP-pools, te brede firewallregels of profielen die na een wijziging niet opnieuw worden verspreid.

Belangrijke planningsvragen:

  • Gebruikers: Lokale gebruikers, AD-groep, RADIUS of andere authenticatie
  • MFA: OTP/MFA actief, getest en gedocumenteerd voor helpdeskprocessen
  • IP-pool: eigen pool zonder overlap met LAN, WLAN, VLANs, Site-to-Site VPN of thuisnetwerken
  • DNS: interne DNS-servers en zoekdomeinen als interne FQDNs worden gebruikt
  • Toegang: alleen vereiste servers, netwerken en diensten toestaan
  • Clientdistributie: .scx, .tgb, .ovpn, .pro, softwaredistributie, versiestand en terugvalroute
  • Beheer: Log Viewer, supportproces, profielwijzigingen en uitdiensttredingen

Voor MFA-basiskennis past Sophos Firewall MFA instellen. Als Remote Access later via Microsoft Entra ID SSO, RADIUS of AD loopt, moet ook het authenticatiepad apart worden getest.

Profieltypes en beschikbaarstelling

Voor de configuratie moet duidelijk zijn welk bestand later op welke client terechtkomt. Dat voorkomt veel supportgevallen.

  • .scx: Sophos Connect voor IPsec Remote Access bevat ook uitgebreide Sophos Connect-instellingen
  • .tgb: IPsec-configuratie voor oudere of externe clients bevat geen uitgebreide Sophos Connect-instellingen
  • .ovpn: SSL VPN voor Sophos Connect of OpenVPN-compatibele clients komt uit SSL VPN-configuratie of VPN Portal
  • .pro: provisioningbestand voor automatische import laadt configuraties via VPN Portal na geslaagde aanmelding

Voor nieuwe Sophos Connect IPsec-rollouts is .scx meestal de betere standaard, omdat deze de uitgebreide instellingen uit de firewall bevat. .tgb moet alleen bewust worden gebruikt als een externe client of oud proces dit vereist.

Provisioning kan de distributie vereenvoudigen, maar verhoogt de afhankelijkheid van VPN Portal. Als gebruikers vanaf internet het provisioningbestand moeten gebruiken, moet VPN Portal vanuit de benodigde zone bereikbaar zijn. Dat hoort onder Administration > Device access en moet in Local Service ACL bewust worden gehard, omdat een via WAN bereikbaar portaal extra aanvalsoppervlak creëert. Voor hardening past Device Access en Local Service ACL op Sophos Firewall.

Sophos Connect activeren

Open in de WebAdmin-interface Remote access VPN > IPsec. In oudere interfaces kan het pad nog VPN > Sophos Connect Client heten. De exacte weergave kan per SFOS-versie iets afwijken, maar de basisbeslissingen blijven vergelijkbaar.

Sophos Connect Client WebAdmin-configuratie

1. Connect Client activeren

IPsec Remote Access activeren. Daarna pas de overige instellingen zetten en niet meteen productief uitrollen.

2. Externe interface kiezen

Als interface wordt meestal de WAN-interface gekozen waarlangs Remote Access-verbindingen de firewall bereiken. Bij meerdere WAN-aansluitingen moet bewust worden gekozen welke aansluiting voor VPN stabiel, gedocumenteerd en vanaf internet bereikbaar is.

Te controleren:

  • publiek IP of correcte DynDNS/FQDN aanwezig
  • portforwards en upstream routers passen
  • WAN failover-gedrag is bekend
  • Device Access en lokale service-ACLs staan alleen benodigde diensten toe
  • VPN Portal is alleen bereikbaar waar het echt nodig is voor download of provisioning

Remote Access is een publiek bereikbaar toegangspunt. De functie alleen is daarom niet genoeg; toegang, MFA en logging moeten worden meegenomen.

Voor hardening van bereikbare firewalldiensten past Device Access en Local Service ACL op Sophos Firewall.

3. Authenticatie kiezen

Voor IPsec Remote Access zijn afhankelijk van SFOS-versie en configuratie verschillende authenticatiemodellen beschikbaar. Preshared Key en certificaat zijn vaak relevante opties.

Praktische indeling:

  • Preshared Key is snel ingericht, maar moet sterk, beschermd en bij verdenking geroteerd worden.
  • Certificaat is netter voor gecontroleerde omgevingen, maar vraagt certificaatbeheer en duidelijke processen.
  • MFA vervangt PSK noch certificaat, maar beschermt de gebruikersaanmelding aanvullend.

Als de Preshared Key in meerdere profielen is verspreid, is een wijziging operationeel kostbaarder. Daarom moet de sleutel niet als wegwerpwaarde worden behandeld.

Bij certificaten moet ook worden gecontroleerd of certificaattype, looptijd, private keys en doelclient bij elkaar passen. Voor IPsec Remote Access zijn vooral RSA-certificaten relevant. Certificaatwissels zijn altijd ook een profiel- en rolloutthema.

4. Local ID en Remote ID controleren

Local ID en Remote ID zijn optioneel, maar kunnen bij meerdere tunnels of speciale peers belangrijk zijn. Als ze worden ingesteld, moeten ze bij het gebruikte profiel en de clientconfiguratie passen.

Typische waarden zijn:

  • DNS-naam
  • IP-adres
  • email
  • certificaat

In eenvoudige setups blijven deze velden vaak leeg. Als later fouten zoals no IKE config found of proposal/ID-problemen optreden, hoort dit gebied bij de controle. Voor diepere analyse is Sophos Firewall IPsec VPN troubleshooting het betere vervolgartikel.

5. Gebruikers en groepen toewijzen

Selecteer alleen gebruikers of groepen die Remote Access echt nodig hebben. In productieomgevingen is een dedicated VPN-groep meestal beter dan een brede standaardgroep.

Te controleren:

  • Groep bevat alleen bevoegde gebruikers.
  • Vertrokken gebruikers worden verwijderd.
  • MFA is voor deze gebruikers actief en getest.
  • Helpdesk weet hoe gebruikers worden geblokkeerd, gedeblokkeerd of opnieuw geprovisioned.

Guest users horen niet in Remote Access. Voor productieomgevingen is een dedicated VPN-groep beter dan een brede standaardgroep uit de directoryservice.

Clientgegevens configureren

6. Namen toekennen

De verbindingsnaam moet begrijpelijk zijn voor gebruikers en support. Namen zoals homeoffice, remote-access-ipsec of een locatienaam zijn nuttiger dan interne afkortingen.

Als meerdere profielen worden verspreid, moet de naamgeving consistent blijven. Dat vermindert verwarring in Sophos Connect Client.

7. IP-pool vastleggen

De firewall wijst VPN-clients een adres uit de gedefinieerde pool toe. Dit bereik mag niet overlappen met interne netwerken, andere VPN-pools, Site-to-Site-netwerken of typische thuisnetwerken.

Goede praktijk:

  • apart adresbereik alleen voor Remote Access
  • voldoende grootte voor gelijktijdige gebruikers
  • geen overlap met 192.168.0.0/24, 192.168.1.0/24 of veelgebruikte thuisnetwerken als dat vermijdbaar is
  • duidelijke documentatie in IPAM of netwerkdocumentatie

Als de pool later wordt gewijzigd, moeten profielen en tests opnieuw worden gecontroleerd.

Voor IPsec Remote Access moet de pool minimaal netjes als eigen subnet worden gepland. Daarnaast mag hij niet overlappen met andere Remote Access-pools zoals SSL VPN, L2TP of PPTP.

8. DNS-servers invoeren

Als gebruikers interne systemen via naam moeten bereiken, moeten passende DNS-servers en eventueel zoekdomeinen worden verspreid. In veel omgevingen is dat een interne Domain Controller of dedicated DNS-server.

Externe resolvers zoals Cloudflare, Google, Quad9 of OpenDNS lossen interne zones niet op. Zulke resolvers zijn alleen zinvol als via de VPN-tunnel geen interne namen nodig zijn of DNS bewust anders wordt opgelost.

Voorbeelden van externe resolvers:

  • Cloudflare: 1.1.1.1 en 1.0.0.1
  • Google: 8.8.8.8 en 8.8.4.4
  • Quad9: 9.9.9.9 en 149.112.112.112
  • OpenDNS: 208.67.222.222 en 208.67.220.220

Voor productieve Remote Access is meestal belangrijker dat interne FQDNs betrouwbaar werken. Als DNS niet netjes is gepland, lijkt de tunnel voor gebruikers “verbonden”, hoewel applicaties niet bruikbaar zijn.

Geavanceerde instellingen controleren

9. Session Timeout instellen

Een Session Timeout voorkomt dat niet meer gebruikte VPN-verbindingen onbeperkt open blijven. Te agressieve waarden kunnen supportgevallen veroorzaken, omdat gebruikers na korte onderbrekingen opnieuw moeten verbinden.

Zinvol is een waarde die bij het werkmodel past:

  • korte timeouts voor sporadische admin-toegang
  • langere timeouts voor stabiele werksessies
  • duidelijke communicatie als gebruikers na inactiviteit opnieuw moeten verbinden

Als OTP/MFA wordt gebruikt, moet ook het effect op reconnects worden getest.

Als de firewall een idle client verbreekt, kan Sophos Connect Client de verbinding op de achtergrond opnieuw opbouwen. Als dat niet lukt, moet de gebruiker de verbinding in de client bewust verbreken en opnieuw verbinden. Dit gedrag moet in het helpdeskproces bekend zijn.

10. Advanced settings bewust instellen

De geavanceerde instellingen bepalen hoe de client zich dagelijks gedraagt. Bij IPsec Remote Access worden ze opgenomen in het .scx-bestand, niet in het .tgb-bestand.

Belangrijke punten:

  • Use as default gateway: Moet al het internetverkeer via de firewall lopen of alleen interne resources?
  • Permitted network resources: Welke interne netwerken mogen überhaupt via de tunnel worden bereikt?
  • Send Security Heartbeat through tunnel: Wordt Sophos Endpoint/Synchronized Security gebruikt en moet Heartbeat via VPN lopen?
  • Allow users to save username and password: Past opgeslagen aanmelding bij het MFA- en securityconcept?
  • Prompt users for 2FA token: Moet OTP als apart veld verschijnen of in het wachtwoordveld worden gecombineerd?
  • Run AD logon script after connecting: Zijn logon scripts zoals drive mappings echt nodig en getest?
  • Connect tunnel automatically: Moet de tunnel bij gebruikerslogin automatisch worden opgebouwd?

Bij Full Tunnel via Use as default gateway is daarnaast een firewallregel van VPN naar WAN en een bewust NAT/Security Policy-ontwerp nodig. Bij Split Tunnel moeten de toegestane interne resources netjes gedocumenteerd zijn.

Als Prompt users for 2FA token actief is, is de bediening voor gebruikers vaak duidelijker. Tegelijk moet worden gecontroleerd of gebruikte tools of automatiseringen met deze instelling werken.

11. Opslaan en configuratie exporteren

Na het opslaan wordt de verbindingsconfiguratie geëxporteerd. Afhankelijk van client en SFOS-versie kunnen .scx, .tgb of provisioningbestanden relevant zijn. Het bestand mag niet open worden opgeslagen of aan onbevoegde personen worden doorgegeven.

Na wijzigingen aan gebruikersgroep, pool, DNS, profiel, gateway, poort, certificaat of Advanced Settings moeten de betrokken clients de bijgewerkte configuratie krijgen. Oude profielen zijn een veelvoorkomende oorzaak van moeilijk te begrijpen VPN-problemen.

Als provisioning wordt gebruikt, moet daarnaast worden gecontroleerd of de client wijzigingen automatisch ophaalt of dat gebruikers in Sophos Connect Client de policy moeten bijwerken of opnieuw moeten aanmelden. Wijzigingen aan SSL VPN-poort, gateway, servercertificaat of protocol zijn typische gevallen waarin opnieuw aanmelden of een bewuste update-stap nodig kan zijn.

Firewallregels inrichten

Sophos Connect bouwt alleen de tunnel op. Toegang tot interne systemen wordt nog steeds via firewallregels gestuurd. Zonder passende regels kan de verbinding groen zijn, maar werkt er geen productieve toegang.

Voor toegang van VPN-clients tot interne systemen wordt typisch een regel van VPN naar LAN of naar een specifieke doelzone gemaakt.

Sophos Connect Client - firewallregel voor VPN/LAN toevoegen
  • Source Zone: VPN
  • Destination Zone: LAN

Beter dan brede vrijgave naar het hele LAN is meestal een regel voor de werkelijk benodigde netwerken of diensten. Logging moet tijdens de introductiefase worden geactiveerd, zodat fouten in Log Viewer zichtbaar zijn.

Als de client als Full Tunnel werkt en internetverkeer ook via de firewall moet lopen, is daarnaast een regel van VPN naar WAN en een bewust NAT/Security Policy-ontwerp nodig.

Sophos Connect Client - firewallregel voor VPN/WAN toevoegen
  • Source Zone: VPN
  • Destination Zone: WAN

Voor foutopsporing in regels is Firewallregel testen met Log Viewer, Policy Test en Packet Capture nuttig.

Firewallregels moeten niet alleen “werken”, maar controleerbaar zijn. Voor de introductiefase is logging op de Remote Access-regels nuttig. Later kan worden beslist welke regels permanent worden gelogd en welke events aanvullend naar Sophos Central of Syslog gaan.

Na de rollout testen

Een groene Sophos Connect-status is niet genoeg als acceptatietest. Minimaal deze punten moeten met een testgebruiker worden gecontroleerd:

  • Client importeert de configuratie zonder fouten.
  • Aanmelding werkt met wachtwoord en MFA.
  • Client krijgt een adres uit de verwachte VPN-pool.
  • Interne DNS-namen worden correct opgelost.
  • Centrale interne systemen zijn bereikbaar.
  • Log Viewer toont de verwachte firewallregel.
  • Split Tunnel of Full Tunnel gedraagt zich zoals gepland.
  • Reconnect na netwerkwissel werkt.
  • Oude profielen zijn niet opnieuw gebruikt.
  • Bij Full Tunnel werkt internettoegang via de firewall zoals gepland.
  • Bij Split Tunnel blijven niet-toegestane doelen geblokkeerd.
  • Log Viewer toont hits op de verwachte regels.
  • Bij provisioning worden profielwijzigingen traceerbaar bijgewerkt.

Daarna kunnen de installatiehandleidingen voor Windows en macOS worden gebruikt.

Beheerchecklist

Na de technische rollout mag beheer niet open blijven:

  • Verantwoordelijke VPN-groep gedocumenteerd.
  • Uitdienstproces verwijdert gebruikers uit Remote Access-groepen.
  • MFA-resetproces is bekend.
  • Profielversie of wijzigingsdatum wordt gedocumenteerd.
  • Helpdesk weet welke profielen actueel zijn.
  • Log Viewer en relevante servicelogs zijn bekend.
  • Wijzigingen aan IP-pool, DNS, gateway, certificaat en Advanced Settings leiden tot een profielcontrole.
  • Voor SFOS-upgrades worden Legacy Remote Access IPsec en clientprofielen gecontroleerd.

Troubleshooting

Verbinding wordt opgebouwd, maar er loopt geen traffic

De oorzaak ligt vaak niet bij de tunnel, maar bij firewallregels, NAT, routing, DNS of de retourroute. Eerst in Log Viewer controleren of traffic uit de VPN-zone de verwachte regel raakt. Daarna met Packet Capture of Policy Test afbakenen.

Gebruiker kan zich niet aanmelden

Gebruikersgroep, authenticatieserver, MFA, geblokkeerde gebruiker en wachtwoordstatus controleren. Als AD, RADIUS of Microsoft Entra ID SSO betrokken is, moet authenticatie los van VPN worden getest.

Client gebruikt een oude configuratie

Na wijzigingen aan IP-pool, DNS, gebruikersgroep, profiel, gateway, certificaat of Advanced Settings moet de configuratie opnieuw worden verspreid of geïmporteerd. Oude .tgb, .scx, .ovpn of provisioningbestanden mogen niet parallel in omloop blijven.

Provisioning werkt niet

Eerst controleren of VPN Portal vanuit de benodigde zone bereikbaar is en of Device Access bewust is ingesteld. Daarna gateway-waarde, portalpoort, certificaat, gebruikersaanmelding, MFA en bij Entra SSO de toewijzing onder Authentication > Services controleren.

SSO werkt slechts gedeeltelijk

Bij Microsoft Entra ID SSO moeten VPN Portal, IPsec en SSL VPN afhankelijk van de workflow bij de juiste Entra ID-server passen. Bij provisioning moet de gateway-waarde passen bij de Redirect URI van de Entra-configuratie. Als alleen individuele gebruikers geraakt zijn, ook UPN, e-mailadres, groepsmapping en geïmporteerde gebruikersgroepen controleren.

Verbinding staat, maar grote transfers hangen

Als login, DNS en kleine toegangen werken, maar grotere bestandsoverdrachten of bepaalde applicaties hangen, moet MTU/MSS worden gecontroleerd. Het foutbeeld past vaak bij fragmentatie, PPPoE, getunnelde verbindingen of een asymmetrisch pad. De procedure staat in Sophos Firewall MTU en MSS bij VPN-problemen controleren.

IPsec valt weg in externe netwerken

IPsec kan in hotels, gast-Wi-Fi, mobiele netwerken of strikt gefilterde bedrijfsnetwerken worden geblokkeerd. In zulke gevallen moet worden gecontroleerd of SSL VPN Remote Access, ZTNA of een ander Remote Access-ontwerp beter past.

Full Tunnel heeft geen internettoegang

Als Use as default gateway actief is, moet traffic van VPN naar WAN worden toegestaan en passend met NAT worden behandeld. Daarnaast moeten Web Protection, Application Control, DNS en logging bewust worden gepland zoals bij andere clientnetwerken.

FAQ

Is Sophos Connect automatisch veilig als de tunnel werkt?

Nee. De tunnel is slechts een deel van de oplossing. MFA, nette gebruikersgroepen, beperkte firewallregels, logging en regelmatig profielonderhoud blijven beslissend.

Moeten VPN-gebruikers toegang tot het hele LAN krijgen?

Alleen als dat echt nodig is. In de meeste omgevingen zijn strakkere regels voor concrete servers, netwerken of diensten beter.

Moet de clientconfiguratie na wijzigingen opnieuw worden verspreid?

Ja, als voor de client relevante instellingen wijzigen. Daaronder vallen IP-pool, DNS, profiel, gateway, certificaten, Advanced Settings of bepaalde Remote Access-parameters.

Moet men .scx of .tgb gebruiken?

Voor Sophos Connect is .scx meestal beter, omdat dit bestand ook uitgebreide instellingen bevat. .tgb is eerder relevant voor externe clients of oudere processen.

Is provisioning veiliger dan een configuratiebestand?

Provisioning vereenvoudigt de distributie, maar is niet automatisch veiliger. VPN Portal moet bereikbaar en gehard zijn, MFA moet gelden en profielwijzigingen moeten toch worden getest.

Heeft Sophos Connect eigen firewallregels nodig?

Ja. Alleen de tunnelopbouw geeft nog geen productieve toegang. Traffic uit de VPN-zone heeft passende firewallregels naar de doelzones nodig en bij Full Tunnel extra regels richting WAN.

Wat is vooral belangrijk vóór SFOS 22 MR1?

Voor SFOS 22.0 MR1 of nieuwer moet Legacy Remote Access IPsec uitgesloten of gemigreerd zijn. Deze erfenis kan de upgrade blokkeren.