Naar de inhoud
Avanet

Sophos Firewall User-ID-limiet en VPN-portaaldownloads controleren

Sophos Firewall

Wanneer gebruikers in het VPN Portal geen .ovpn-configuratie kunnen downloaden of individuele portal- en authenticatiefuncties onverwacht falen, denkt men meestal eerst aan SSL VPN, groepslidmaatschap, MFA of een certificaatprobleem. Dat is vaak juist. Er is echter een minder voor de hand liggend punt: de interne gebruikers-ID’s van de Sophos Firewall.

Sophos Firewall hanteert een limiet van 65.535 gebruikers-ID’s, die gedeeld worden door gebruikers en groepen. Gebruikers kunnen weliswaar boven dit limiet worden aangemaakt, maar gebruikers met een hogere toegewezen ID kunnen functionele problemen ondervinden. Een typisch voorbeeld zijn .ovpn-configuratiebestanden die niet meer uit het VPN Portal kunnen worden gedownload.

Dit artikel helpt om het probleem te begrijpen zonder overhaast gebruikers te verwijderen of de VPN-configuratie om te bouwen.

Wanneer dit probleem verdacht is

Het gebruikers-ID-limiet is geen standaardfout in kleine omgevingen. Het wordt vooral relevant wanneer er over de jaren veel gebruikers, groepen of externe directory-objecten op de firewall zijn ontstaan.

Typische aanwijzingen:

  • Een gebruiker kan zich aanmelden bij het VPN Portal, maar de .ovpn-bestand niet downloaden.
  • Alleen individuele gebruikers worden getroffen, andere gebruikers met dezelfde VPN-configuratie niet.
  • De SSL-VPN-policy, groepslidmaatschap en MFA lijken correct.
  • In Authentication > Users zijn er zeer veel gebruikers aanwezig.
  • Er zijn lange tijd AD-, LDAP-, RADIUS- of Entra-ID-aanmeldingen gebruikt.
  • Oude gebruikers of groepen zijn nooit opgeschoond.
  • Een probleem treedt op na migratie, directory-herstructurering of veel testgebruikers.

Als de VPN-tunnel wordt opgebouwd, maar daarna geen verkeer plaatsvindt, is dat een ander foutbeeld. Dan zijn DNS, firewallregels, routing, NAT of terugweg waarschijnlijker. Voor deze procedure past Sophos SSL VPN met Sophos Connect op Windows instellen of de betreffende platformhandleiding.

Wat gebruikers-ID’s op de Sophos Firewall zijn

De Sophos Firewall beheert gebruikers en groepen intern met ID’s. Deze ID’s zijn niet hetzelfde als een Active Directory-SID, een Entra Object ID of een gebruikersnaam, maar een interne toewijzing van de firewall.

Belangrijk is:

  • Het limiet geldt gezamenlijk voor gebruikers en groepen.
  • Externe directorygebruikers verschijnen niet noodzakelijk direct als lokale gebruikers.
  • Gebruikers uit externe directories verschijnen onder Authentication > Users vaak pas wanneer ze zich aanmelden bij een firewall-dienst, zoals User Portal of VPN Portal.
  • Verwijderde of inactieve gebruikers en groepen moeten regelmatig worden opgeschoond, zodat ID’s opnieuw kunnen worden gebruikt.

In omgevingen met Active Directory moet de AD-koppeling zelf eerst schoon zijn. De procedure staat in Active Directory met Sophos Firewall verbinden. Wanneer gebruikers transparant worden herkend via Windows-aanmeldingen, is STAS op Sophos Firewall instellen ook relevant.

Voor het verwijderen controleren

Het opschonen van gebruikers en groepen is een administratieve ingreep. Vooraf moet duidelijk zijn welke objecten echt niet meer nodig zijn.

Controleer:

GebiedWaarom belangrijk
Remote AccessGebruikers of groepen kunnen in SSL-VPN- of IPsec-policies worden gebruikt
Firewall-regelsGebruikers- of groepsobjecten kunnen in regels worden gerefereerd
User Portal en VPN PortalPortalrechten hangen vaak aan groepen
MFA en OTPVerwijderde gebruikers verliezen mogelijk token-toewijzingen
RapportageHistorische analyses kunnen gebruikersnamen blijven bevatten
Externe directoriesGebruikers kunnen bij de volgende login weer verschijnen als ze nog steeds bevoegd zijn

⚠️ Gebruikers en groepen moeten niet blindelings worden verwijderd, alleen omdat er veel vermeldingen zijn. Controleer eerst of het object nog wordt gebruikt in policies, regels, portaltoegangen of authenticatiestromen.

Systematisch beperken

1. Vergelijk getroffen gebruikers

Vergelijk eerst een functionerende en een getroffen gebruiker:

  • dezelfde authenticatieserver
  • dezelfde VPN- of portaalgroep
  • dezelfde MFA-vereiste
  • dezelfde SSL-VPN-policy
  • dezelfde toegang tot het VPN Portal
  • hetzelfde client- en browserpad

Als alleen een nieuwe of zelden gebruikte gebruiker wordt getroffen, terwijl oudere gebruikers functioneren, wordt de interne gebruikers-ID-toewijzing interessanter.

2. Controleer gebruikerslijst

In WebAdmin:

Authentication > Users

Controleer daar:

  • Hoeveel gebruikers zijn zichtbaar?
  • Zijn er veel oude lokale gebruikers?
  • Zijn er testaccounts, voormalige medewerkers of technische accounts zonder doel?
  • Worden gebruikers uit externe directories automatisch aangemaakt bij portal-logins?
  • Zijn er geïmporteerde groepen die op de firewall niet worden gebruikt?

Afhankelijk van de omgeving kan ook een export of een gedocumenteerde lijst helpen, zodat opschoningen niet impulsief gebeuren.

3. Beperk groepsimport

Veel problemen ontstaan niet door individuele gebruikers, maar door te brede groepsimporten. Wanneer uit Active Directory of een andere directory zeer veel groepen worden geïmporteerd, komen er snel objecten op de firewall die nooit nodig zijn voor regels, VPN of portal.

Onder:

Authentication > Servers

moet men controleren welke externe servers zijn gekoppeld en welke groepen zijn geïmporteerd. Voor firewall- en VPN-doeleinden volstaat meestal een klein aantal duidelijk benoemde groepen, bijvoorbeeld voor Remote Access, beheerstoegang of gebruikersregels.

4. Inactieve objecten opschonen

Wanneer duidelijk is welke gebruikers of groepen niet meer nodig zijn, kan de opschoning worden gepland.

Zinvolle procedure:

  1. Documenteer getroffen gebruikers, groepen en policies.
  2. Identificeer oude lokale testgebruikers en niet meer benodigde groepen.
  3. Controleer voor het verwijderen of objecten worden gebruikt in firewallregels, VPN-policies of portaltoegangen.
  4. Voer een kleine opschoning uit, verwijder niet honderden objecten zonder controle.
  5. Test opnieuw met een getroffen gebruiker in het VPN Portal.
  6. Documenteer het resultaat.

Als externe directorygebruikers bij de volgende login opnieuw worden aangemaakt, moet de bron worden aangepast. Anders wordt de firewall slechts tijdelijk opgeschoond.

VPN-portaaldownload afzonderlijk controleren

Het gebruikers-ID-limiet is slechts een mogelijke oorzaak. Voor .ovpn-downloadproblemen moet men ook de normale Remote Access-punten controleren:

  • Gebruiker mag SSL VPN gebruiken.
  • Gebruiker is lid van de juiste groep.
  • VPN Portal is bereikbaar via Administration > Device access.
  • MFA of OTP werkt.
  • Certificaat van het portal is betrouwbaar.
  • SSL-VPN-configuratie is actueel.
  • Browser blokkeert de download niet.
  • De gebruiker downloadt het actuele bestand, niet een oude kopie.

Voor de indeling van User Portal, VPN Portal en andere Sophos-toegangen helpt Sophos Portalen: SophosID, Central, Support en Firewall-toegangen. Voor de beveiliging van de portaltoegangen past Device Access en Local Service ACL op Sophos Firewall.

Als Entra ID SSO betrokken is

Bij Microsoft Entra ID SSO moet men het gebruikers-ID-thema niet verwarren met Conditional Access, OAuth of Redirect-URI-fouten. Als aanmelding, redirect en MFA al falen, ligt het probleem waarschijnlijk voor de eigenlijke VPN-download.

Een duidelijke afbakening bespaart veel tijd:

ObservatieEerst controleren
Aanmelding, redirect of MFA faaltEntra-app, Redirect URI, Client Secret, Conditional Access, certificaat, tijd en oauth_sso_vpn.log
Aanmelding werkt, maar de gebruiker mag Remote Access niet gebruikengeïmporteerde Entra-groep, Allowed users and groups, SSL-VPN-policy of IPsec-Remote-Access-toestemming
Aanmelding werkt, maar alleen bepaalde portal- of downloadfuncties falenintern gebruikersobject, gebruikers-ID, portaltoestemming en browserpad vergelijken
Tunnel verbindt, maar interne doelen zijn niet bereikbaarfirewallregel, routing, DNS, NAT en VPN-pool controleren

Pas als de aanmelding in principe werkt, maar bepaalde portal- of downloadfuncties falen, is het de moeite waard om naar interne gebruikersobjecten en gebruikers-ID’s te kijken. De Entra-specifieke instelling staat in Microsoft Entra ID SSO voor Sophos Connect en VPN Portal instellen.

Praktisch gezien moet men een getroffen gebruiker vergelijken met een functionerende gebruiker: dezelfde Entra-groep, dezelfde Remote Access-policy, dezelfde portaal-aanmelding, hetzelfde clientpad en dezelfde toestemming op de firewall. Als UPN, e-mailadres of groepsmapping niet overeenkomen, wordt eerst de Entra-SSO-spoor opgeschoond. Als deze punten kloppen en alleen de .ovpn-download of een portalactie uitvalt, wordt het interne gebruikers-ID-thema plausibeler.

Belangrijk is ook de opschoning: Entra-gebruikers of geïmporteerde groepen moeten niet blindelings worden verwijderd als ze nog steeds zijn toegestaan voor Remote Access. Anders worden ze bij de volgende portal-aanmelding of bij de volgende groepsimport opnieuw aangemaakt. Beter is om eerst de toegestane groepen duidelijk te beperken en daarna alleen echt niet meer benodigde firewall-objecten te verwijderen. Voor profiel- en provisioningthema’s past aanvullend Sophos Connect op Sophos Firewall configureren.

Bedrijfsaanbeveling

Voor grotere omgevingen moet gebruikershygiëne deel uitmaken van het firewallbeheer:

  • Breng alleen benodigde AD-/LDAP-/Entra-groepen naar de firewall.
  • Verwijder regelmatig voormalige lokale gebruikers.
  • Verwijder testaccounts na projecten.
  • Controleer regelmatig groepslidmaatschappen voor Remote Access.
  • Documenteer welke groepen productief worden gebruikt voor VPN, firewallregels en portalen.
  • Plan na directory-herstructureringen een korte authenticatie- en VPN-portaaltest.

Het doel is niet om de firewall als een volledig identity management-systeem te gebruiken. De firewall moet alleen de identiteiten kennen die ze echt nodig heeft voor policies, portalen, VPN en rapportage.

Probleemoplossingschecklist

SymptoomWaarschijnlijke richting
Slechts één gebruiker kan .ovpn niet downloadenControleer toestemming, MFA, gebruikersobject of gebruikers-ID
Alle gebruikers kunnen niets downloadenControleer VPN Portal, certificaat, Device Access of SSL-VPN-configuratie
Aanmelding bij het VPN Portal faalt al eerderControleer authenticatieserver, wachtwoord, MFA, groepen of portaltoegang
Aanmelding werkt, download werkt nietControleer gebruikersobject, browser, portalrechten en gebruikers-ID-limiet
Gebruiker verschijnt niet onder Authentication > UsersGebruiker heeft zich mogelijk nog nooit aangemeld bij een firewall-dienst
Veel oude gebruikers zichtbaarPlan opschoning en beperk groepsimport

FAQ

Wat is het Sophos Firewall User-ID-limiet?

Sophos Firewall gebruikt een limiet van 65.535 gebruikers-ID’s, die gedeeld worden door gebruikers en groepen. Gebruikers met hogere ID’s kunnen functionele problemen ondervinden.

Kan het limiet de OVPN-download in het VPN Portal verhinderen?

Ja. Het is expliciet gedocumenteerd dat gebruikers met een te hoge toegewezen gebruikers-ID problemen kunnen ondervinden bij het downloaden van .ovpn-configuratiebestanden uit het VPN Portal.

Moet men alle oude gebruikers onmiddellijk verwijderen?

Nee. Eerst moet worden gecontroleerd welke gebruikers en groepen nog worden gebruikt in regels, VPN-policies, portalen of MFA-processen. Daarna kan men gericht opschonen.

Waarom verschijnen externe gebruikers pas later op de firewall?

Externe directorygebruikers worden niet altijd al zichtbaar als lokale firewall-gebruikers bij het koppelen van de directoryserver. Vaak verschijnen ze pas wanneer ze zich aanmelden bij een firewall-dienst, zoals User Portal of VPN Portal.

Is dit een SSL-VPN-probleem?

Niet direct. Het foutbeeld doet zich vaak voor bij de SSL-VPN-download, maar de oorzaak kan liggen in het interne gebruikersbeheer of het authenticatiedesign.