Sophos Firewall Remote Access configureren onder Linux
Voor Windows en macOS bestaat met Sophos Connect een eigen client voor IPsec en SSL VPN. Voor Linux biedt Sophos geen eigen Sophos Connect-client aan. Wie zich onder Linux wil verbinden met Sophos Firewall Remote Access, gebruikt in plaats daarvan standaardtools: de reguliere OpenVPN-client voor SSL VPN of NetworkManager met de strongSwan-plugin voor IPsec.
Dit artikel beschrijft beide wegen en geeft aan wanneer welk pad zinvol is. Voor de fundamentele keuze tussen IPsec en SSL VPN past eerst Sophos Connect of SSL VPN: welke Remote Access-oplossing past?. Voor de firewallzijdige configuratie van SSL VPN Remote Access is Sophos Firewall SSL VPN Remote Access configureren de passende basis.
Verhouding tot andere clients
- Windows of macOS met Sophos Connect: Sophos Connect-client op Windows installeren respectievelijk Sophos Connect-client op macOS installeren.
- iOS of Android met OpenVPN Connect: Sophos SSL VPN op iPhone en iPad configureren respectievelijk Sophos SSL VPN op Android configureren.
- Linux met OpenVPN of NetworkManager-strongSwan: dit artikel.
Linux is daarmee geen uitzondering in negatieve zin, maar volgt hetzelfde patroon als mobiele platforms: in plaats van een eigen client van de fabrikant worden gevestigde standaardtools gebruikt, die werken met het door de firewall aangeleverde configuratiebestand.
Vereisten
- Sophos Firewall met geconfigureerde SSL VPN Remote Access of IPsec Remote Access.
- Gebruikersaccount met VPN-rechten en, indien geactiveerd, een werkende MFA.
- Voor SSL VPN: OpenVPN-clientpakket op het Linux-systeem, bijvoorbeeld
openvpnonder Debian/Ubuntu of de bijbehorende distributie-specifieke pakketbron. - Voor IPsec: NetworkManager met de strongSwan-plugin, bijvoorbeeld
network-manager-strongswanonder Debian/Ubuntu. - Toegang tot het VPN Portal of een administratief aangeleverd configuratiebestand.
⚠️ Voor Linux bestaat geen officiële Sophos Connect-client. Handleidingen of downloads die een “Sophos Connect voor Linux” aanprijzen, maken geen deel uit van het officiële Sophos-aanbod en mogen niet ongecontroleerd worden geïnstalleerd.
SSL VPN met OpenVPN configureren
De officieel door Sophos gedocumenteerde weg voor Linux is SSL VPN Remote Access met de klassieke OpenVPN-client.
1. OpenVPN-client installeren
Op de meeste distributies volstaat het standaardpakket van de pakketbeheerder, bijvoorbeeld:
sudo apt install openvpn
Wie een grafische interface verkiest, kan daarnaast de NetworkManager-OpenVPN-plugin installeren, bijvoorbeeld network-manager-openvpn-gnome, en de verbinding daarmee importeren in plaats van via de terminal te starten.
2. Configuratiebestand downloaden
- Het VPN Portal van de Sophos Firewall in de browser openen.
- Aanmelden met de VPN-gebruiker.
- Onder de configuratiekeuze Linux selecteren.
- Het
.ovpn-bestand downloaden en veilig bewaren.
3. Verbinding via de terminal starten
sudo openvpn --config sophos-vpn.ovpn
Na de start vraagt OpenVPN, afhankelijk van de configuratie, om gebruikersnaam en wachtwoord, en eventueel daarna om een MFA-verificatiecode. De verbinding blijft bestaan zolang het proces actief is. Wordt het terminalvenster gesloten, dan wordt ook de tunnel verbroken.
Voor een duurzamer gebruik zonder open terminal kan OpenVPN als systemd-service worden geconfigureerd, of kan de verbinding via NetworkManager worden beheerd.
4. Verbinding via NetworkManager importeren (optioneel)
- Netwerkinstellingen openen.
- Een nieuwe VPN-verbinding toevoegen en Importeren uit bestand kiezen.
- Het gedownloade
.ovpn-bestand selecteren. - Gebruikersnaam opslaan, indien gewenst; wachtwoord niet permanent in platte tekst opslaan als MFA actief is.
- Verbinding starten via de grafische interface en inloggegevens respectievelijk MFA-code invoeren.
Deze variant is in de praktijk handiger, omdat ze net als elke andere netwerkverbinding kan worden in- en uitgeschakeld, zonder een terminal open te houden.
IPsec met NetworkManager-strongSwan (alternatief)
Als IPsec in plaats van SSL VPN moet worden gebruikt, is op Linux de NetworkManager-strongSwan-plugin de gangbare weg. Deze variant is op Linux minder gestandaardiseerd dan het OpenVPN-pad en moet vooral worden overwogen voor IKEv2 Remote Access-scenario’s.
1. Plugin installeren
sudo apt install network-manager-strongswan
De exacte pakketnaam kan per distributie verschillen.
2. Verbindingstype op de firewall controleren
De strongSwan-plugin voor NetworkManager ondersteunt IKEv2. Op de firewall moet het Remote Access-IPsec-profiel dienovereenkomstig op IKEv2 zijn ingesteld, niet op het oudere IKEv1. Voor de authenticatie ondersteunt de plugin zowel certificaatgebaseerde methoden als EAP, bijvoorbeeld gebruikersnaam en wachtwoord. Bij Preshared-Key-authenticatie vereist de plugin een voldoende sterk secret; korte of eenvoudige PSK’s moeten in principe worden vermeden.
3. Verbinding aanmaken
- Netwerkinstellingen openen.
- Een nieuwe VPN-verbinding van het type IPsec/IKEv2 (strongswan) toevoegen.
- Gateway-adres van de Sophos Firewall invullen.
- Authenticatiemethode kiezen passend bij de firewallconfiguratie: certificaat of gebruikersnaam/wachtwoord (EAP).
- Bij certificaatgebaseerde authenticatie het servercertificaat respectievelijk de CA opslaan die door de firewall wordt gebruikt.
- Verbinding opslaan en testen.
Omdat dit pad sterker afhangt van de distributie, de plugin-versie en de exacte IPsec-configuratie op de firewall, is het foutgevoeliger dan de OpenVPN-weg. Voor de meeste omgevingen is SSL VPN via OpenVPN daarom de robuustere eerste aanpak voor Linux-clients.
Na de configuratie controleren
- Verbindingsstatus in OpenVPN respectievelijk NetworkManager toont een actieve sessie.
- Interne DNS-namen worden opgelost via de VPN-tunnel.
- Een toegestaan intern doel is bereikbaar, een niet-toegestaan doel blijft geblokkeerd.
- In de Log Viewer van de firewall verschijnt verkeer uit de
VPN-zone met de verwachte firewallregel. - Bij MFA: de verificatiecode wordt bij elke nieuwe verbinding correct gevraagd.
- Na een herstart van de Linux-client wordt de verbinding ofwel netjes opnieuw opgebouwd, ofwel bewust handmatig gestart, afhankelijk van hoe ze is geconfigureerd.
Als de verbinding staat, maar er geen verkeer doorkomt, helpt Firewallregel testen met Log Viewer, Policy Test en Packet Capture.
Veelvoorkomende fouten
- Gezocht naar een handleiding voor een niet-officiële “Sophos Connect voor Linux”: deze client bestaat officieel niet. Gebruik in plaats daarvan OpenVPN of NetworkManager-strongSwan.
- Terminalvenster gesloten en verbinding verloren: bij een directe
openvpn --config-aanroep verbreekt een gesloten terminal de tunnel. Voor permanent gebruik NetworkManager-import of een systemd-service gebruiken. - Oud
.ovpn-bestand na firewallwijziging blijven gebruiken: na wijzigingen aan gateway, certificaat, VPN-Portal-poort of authenticatie moet het configuratiebestand opnieuw worden gedownload. - IKEv1 in plaats van IKEv2 op de firewall geconfigureerd: de NetworkManager-strongSwan-plugin ondersteunt alleen IKEv2. Firewallzijdig profiel controleren en zo nodig aanpassen.
- Te korte Preshared Key: nieuwere plugin-versies dwingen een minimale PSK-lengte af. Een te kort secret leidt tot een verbindingsfout, niet tot een onveilige maar wel werkende verbinding.
- Verkeerd certificaat of verkeerde CA opgeslagen: bij certificaatgebaseerde IPsec-authenticatie moet exact de CA zijn opgeslagen die ook de firewall gebruikt. Een licht afwijkend of verlopen certificaat leidt tot een verbroken verbinding zonder betekenisvolle foutmelding in de client.
- MFA-code verkeerd toegewezen: bij OpenVPN met MFA moet de verificatiecode in het juiste veld en op het juiste moment worden ingevoerd. Vergelijk bij twijfel de aanmeldvolgorde met een werkende Windows- of macOS-client.
FAQ
Bestaat er een officiële Sophos Connect-client voor Linux?
Welke weg is onder Linux eenvoudiger: SSL VPN of IPsec?
Waarom wordt de VPN-verbinding verbroken als ik de terminal sluit?
sudo openvpn --config, draait de verbinding als voorgrondproces van de terminal. Voor een gebruik onafhankelijk van de terminalsessie moet de verbinding via NetworkManager worden geïmporteerd of als service worden geconfigureerd.