Naar de inhoud
Avanet

Sophos SSL VPN instellen op Android

Sophos Firewall

Sophos Connect ondersteunt Android niet direct voor IPsec of SSL VPN. Als een Android-smartphone of Android-tablet via Sophos Firewall Remote Access moet worden verbonden, is een OpenVPN-compatibele client nodig. In veel omgevingen is OpenVPN Connect de voor de hand liggende standaard, omdat de Sophos Firewall een .ovpn-configuratie voor mobiele clients biedt.

Dit artikel beschrijft de praktische stappen voor Sophos SSL VPN op Android: app installeren, .ovpn-configuratie verkrijgen, profiel importeren, verbinding testen en typische fouten beperken. Voor de fundamentele beslissing tussen Sophos Connect, SSL VPN, IPsec, mobiele clients en ZTNA, zie eerst Sophos Connect of SSL VPN: Welke Remote-Access-oplossing past?.

Wanneer SSL VPN op Android zinvol is

SSL VPN op Android is zinvol wanneer mobiele gebruikers af en toe toegang moeten hebben tot interne systemen en een klassiek VPN-profiel voldoende is.

Typische voorbeelden:

  • Toegang tot interne webapplicaties
  • Admin-toegang tot enkele systemen via een tablet
  • Toegang tot interne tools via gedefinieerde apps
  • Tijdelijke toegang zonder beheerde notebook-client
  • Overgangsoplossing wanneer ZTNA of app-proxy nog niet beschikbaar is

Voor permanente toegang tot veel interne systemen is een mobiel apparaat vaak niet de beste doelplatform. Dan moet worden overwogen of een beheerde Windows- of macOS-client met Sophos Connect, een nauwere ZTNA-toegang of een ander Remote-Access-ontwerp beter past.

Inzicht in andere clients

Deze handleiding is van toepassing op Sophos Firewall met SFOS en Android-apparaten. Afhankelijk van het platform of de uitgangssituatie past een andere benadering:

SituatiePassende benadering
SSL VPN op Android instellenDit artikel
SSL VPN met Sophos Connect op Windows instellenSophos SSL VPN met Sophos Connect op Windows instellen
SSL VPN met Sophos Connect op macOS instellenSophos SSL VPN met Sophos Connect op macOS instellen
SSL VPN op iPhone en iPad instellenSophos SSL VPN op iPhone en iPad instellen
Sophos Connect op Windows installerenSophos Connect Client op Windows installeren
Sophos Connect op macOS installerenSophos Connect Client op macOS installeren

Belangrijk is de afbakening: Sophos Connect is niet de directe SSL-VPN-client voor Android. Als mobiele apparaten ondersteund moeten worden, moet intern duidelijk worden gedefinieerd welke OpenVPN-compatibele client wordt gebruikt, waar de profielen vandaan komen en wie bij apparaatwisselingen ondersteunt.

Vereisten

Voor de installatie moeten deze punten worden opgehelderd:

  • Sophos Firewall met geconfigureerde SSL-VPN-Remote-Access-configuratie
  • Gebruiker met toestemming voor SSL VPN
  • Toegang tot het VPN Portal of administratief verstrekte .ovpn-bestand
  • OpenVPN-compatibele client op Android
  • MFA/OTP ingesteld, indien Remote Access daarmee wordt beveiligd
  • Geldig certificaat voor VPN Portal en Firewall-toegang, indien mogelijk
  • Firewallregels voor verkeer uit de VPN-zone
  • Duidelijk Split-Tunnel- of Full-Tunnel-ontwerp
  • Ondersteuningsproces voor apparaatwisselingen, verloren apparaten en oude profielen

Voor een upgrade naar SFOS 22.0 MR1 of nieuwer moet bovendien worden gecontroleerd of er nog oude Remote-Access-IPsec-configuraties aanwezig zijn. SSL VPN wordt daar niet direct door beïnvloed, maar veel omgevingen herzien Remote Access op dat moment. De procedure staat in Legacy Remote Access IPsec voor SFOS 22 MR1 migreren.

Firewall en VPN Portal voorbereiden

De Android-installatie is slechts de laatste stap. Vooraf moet de firewallconfiguratie correct zijn.

Op de Sophos Firewall moeten deze punten worden gecontroleerd:

  1. Remote access VPN openen.
  2. SSL VPN voor de benodigde gebruikers of groepen configureren.
  3. VPN-IP-pool gebruiken zonder overlap met LAN, WLAN, VLANs, Site-to-Site-VPNs of typische thuisnetwerken.
  4. DNS-servers en domeinsuffixen correct instellen als interne namen worden gebruikt.
  5. MFA voor Remote Access activeren en met testgebruiker controleren.
  6. Firewallregel van VPN naar de benodigde doelzone maken.
  7. Logging voor de introductiefase activeren.
  8. VPN Portal via Administration > Device access alleen zo breed vrijgeven als nodig.

De volledige firewallprocedure staat in Sophos Firewall SSL VPN Remote Access instellen.

Het VPN Portal is een openbaar toegankelijke toegangspunt. Als het vanaf het internet bereikbaar moet zijn, moeten certificaat, MFA, land-/bronbeperking en logcontrole bewust worden gepland. Voor de beveiliging past Device Access en Local Service ACL op Sophos Firewall.

1. OpenVPN Connect installeren

Installeer OpenVPN Connect vanuit Google Play: OpenVPN Connect.

Als in de omgeving een andere OpenVPN-compatibele client is gestandaardiseerd, moet deze beslissing worden gedocumenteerd. Het wordt problematisch als gebruikers parallel verschillende VPN-apps, oude profielen en verschillende handleidingen gebruiken.

Voor ondersteuning en werking moet worden vastgesteld:

  • welke client wordt ondersteund
  • welke app-versie minimaal wordt verwacht
  • of gebruikers de app zelf mogen installeren
  • hoe profielen worden verspreid en ingetrokken
  • hoe verloren of vervangen apparaten worden behandeld

2. VPN Portal openen

Open op het Android-apparaat het VPN Portal van de Sophos Firewall in de browser en meld je aan met de VPN-gebruiker. In de meeste omgevingen is de normale Android-browser of Chrome voldoende. Belangrijk is dat het gedownloade .ovpn-bestand vervolgens aan OpenVPN Connect kan worden doorgegeven.

Als het VPN Portal met een ongeldig of niet-vertrouwd certificaat wordt geopend, moet de oorzaak worden verholpen. Een permanente browseruitzondering is voor productieve Remote Access geen goede bedrijfsstandaard.

Bij MFA moet de procedure met een echte testgebruiker worden gecontroleerd. Vooral belangrijk is of de tweede factor in een apart veld wordt gevraagd of dat wachtwoord en OTP-code in de verwachte vorm moeten worden ingevoerd. De basisprincipes staan in MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren.

3. OVPN-configuratie downloaden

Ga in het VPN Portal naar het gedeelte SSL VPN of VPN en download de configuratie voor Android/iOS. Afhankelijk van de SFOS-versie en portalweergave heet de link iets als Download configuration for Android/iOS.

Het gedownloade bestand heeft normaal gesproken de extensie .ovpn. Dit bestand is gebruikersspecifiek en mag niet aan andere gebruikers worden doorgegeven.

Belangrijk:

  • Het bestand moet afkomstig zijn uit de huidige firewallconfiguratie.
  • Oude bestanden uit e-mailarchieven, chatgeschiedenissen of downloadmappen mogen niet opnieuw worden gebruikt.
  • Na wijzigingen aan SSL-VPN-policy, certificaat, gateway, DNS of gebruikersgroep moet het profiel opnieuw worden geladen.
  • Als een gebruiker het bedrijf verlaat of een apparaat verloren gaat, moeten gebruikersrechten, groepslidmaatschap en profielverdeling worden gecontroleerd.

4. Profiel in OpenVPN Connect importeren

Als Android de import niet automatisch aanbiedt, kan het .ovpn-bestand via de deeloptie of via de bestandsimport in OpenVPN Connect worden geopend. OpenVPN Connect toont daarna het nieuwe profiel en vraagt bij de eerste installatie om toestemming om een VPN-verbinding te maken.

Deze Android-bevestiging is noodzakelijk zodat de app een VPN-verbinding mag maken. Als de bevestiging wordt geweigerd, verschijnt het profiel mogelijk wel in de app, maar kan de verbinding niet correct worden opgebouwd.

Bij meerdere profielen moet de naam duidelijk zijn, bijvoorbeeld met locatie, omgeving of bedrijfsnaam. Meerdere bijna gelijknamige profielen zijn een veelvoorkomende reden voor ondersteuning.

5. VPN-verbinding opzetten

Activeer het geïmporteerde profiel en meld je aan met de VPN-gebruiker. Als MFA of OTP actief is, moet de tweede factor volgens de firewallconfiguratie worden bevestigd.

Na succesvolle verbinding moet niet alleen de OpenVPN-app als verbonden worden weergegeven. Doorslaggevend is of de geplande interne doelen bereikbaar zijn en of het verkeer op de firewall de juiste regel treft.

Na de installatie controleren

Minimaal deze punten moeten met een testgebruiker worden gecontroleerd:

  • OpenVPN Connect toont de verbinding als verbonden.
  • Android toont de VPN-status in de statusbalk of in de netwerkinstellingen.
  • Gebruiker ontvangt een IP-adres uit de verwachte SSL-VPN-pool.
  • Interne DNS-namen worden correct opgelost.
  • Benodigde servers, webapplicaties of diensten zijn bereikbaar.
  • Internetgedrag komt overeen met het ontwerp: Split Tunnel of Full Tunnel.
  • In de Log Viewer is de verwachte firewallregel voor verkeer uit de VPN-zone zichtbaar.
  • MFA wordt zoals gepland gevraagd.
  • Verbinding na vliegtuigmodus, WLAN-wissel of mobiele wissel opnieuw testen.
  • Oude profielen zijn verwijderd of duidelijk als verouderd gemarkeerd.

Als de verbinding tot stand is gebracht, maar geen toegang werkt, ligt de oorzaak vaak niet bij de mobiele client, maar bij firewallregels, DNS, routing of NAT. Voor de analyse past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

Handmatige distributie of MDM?

Bij enkele Android-apparaten kan de handmatige import via VPN Portal, downloadmap en OpenVPN Connect voldoende zijn. Zodra meerdere gebruikers, beheerde smartphones of regelmatige apparaatwisselingen betrokken zijn, moet de profielverdeling echter bewust worden gepland. Anders blijven oude .ovpn-bestanden in downloads, chats, e-mails of privé-cloudopslag liggen en worden ze later bij ondersteuningsgevallen opnieuw gebruikt.

VariantZinvol wanneerWaarop te letten
Handmatige importenkele apparaten, pilotgroep, occasioneel gebruikduidelijke handleiding, actueel profiel, MFA-test en verwijdering van oude profielen
Distributie via MDM of Endpoint-Managementbeheerde Android-apparaten, veel gebruikers, terugkerende wijzigingenApp-distributie, profielversie, apparaatverlies, intrekking van oude profielen en ondersteuningsproces

Belangrijk is de intrekking. Als een Android-apparaat wordt vervangen, een gebruiker vertrekt of een SSL-VPN-policy wordt gewijzigd, is het niet voldoende om een nieuw profiel beschikbaar te stellen. Oude profielen, groepslidmaatschappen, opgeslagen inloggegevens en eventueel aanwezige bestandskopieën moeten ook worden gecontroleerd.

Bedrijf en beveiliging

Mobiele VPN-profielen hebben duidelijke bedrijfsregels nodig. Android-apparaten wisselen vaak tussen WLAN, mobiele netwerken, hotspots en captive portals. Bovendien gaan mobiele apparaten gemakkelijker verloren of worden sneller vervangen dan klassieke bedrijfsnotebooks.

Goede praktijk:

  • OpenVPN Connect regelmatig bijwerken.
  • MFA voor Remote Access activeren en testen.
  • VPN-groepen regelmatig controleren.
  • VPN Portal via Device Access en Local Service ACL beperken, indien mogelijk.
  • Firewallregels voor de VPN-zone strak houden en loggen.
  • Oude .ovpn-bestanden en verouderde profielen verwijderen.
  • Apparaatwisselingen en verloren apparaten in het ondersteuningsproces opnemen.
  • Bij langere logbewaring Syslog of centrale evaluatie plannen.

Voor logbestanden en servicelogs is Sophos Firewall Troubleshooting: Services en Logs nuttig.

Typische fouten

OVPN-bestand kan niet worden geopend

Controleer eerst of OpenVPN Connect is geïnstalleerd en of het bestand echt als .ovpn aanwezig is. Download het bestand vervolgens opnieuw uit het VPN Portal of geef het via de deeloptie door aan OpenVPN Connect.

Als het bestand via MDM, e-mail of bestandsdeling wordt verspreid, moet worden gecontroleerd of het bestand onderweg is gewijzigd, hernoemd of geblokkeerd.

Import werkt, maar verbinding niet

Dan is vaak de Android-toestemming voor de VPN-configuratie niet correct verleend of past het profiel niet bij de huidige firewallconfiguratie. Verwijder het profiel, verkrijg het actuele .ovpn-bestand opnieuw en importeer het opnieuw.

Aanmelding mislukt

Controleer gebruiker, wachtwoord, MFA, groepslidmaatschap en authenticatieserver. Als AD, RADIUS of Microsoft Entra ID SSO betrokken is, moet de authenticatie los van de VPN worden getest. Een inlogprobleem is niet automatisch een OpenVPN-probleem.

Verbinding staat, maar interne systemen zijn niet bereikbaar

Controleer DNS, firewallregels, routing, NAT en retourpad. In de Log Viewer moet verkeer uit de VPN-zone zichtbaar zijn. Als er geen logs verschijnen, bereikt het verkeer waarschijnlijk niet de verwachte regel of is logging uitgeschakeld.

Bij afzonderlijke interne systemen is vaak niet de VPN zelf defect, maar een ontbrekende firewallregel, een verkeerde DNS-naam of een retourroute in het doelsysteem.

Als kleine toegangspogingen werken, maar grotere bestandsoverdrachten of bepaalde applicaties vastlopen, moet ook MTU/MSS worden gecontroleerd: Sophos Firewall MTU en MSS bij VPN-problemen controleren.

Interne namen worden niet opgelost

Controleer DNS-servers en zoekdomein in de SSL-VPN-configuratie. Test vervolgens of interne systemen via IP-adres bereikbaar zijn. Als IP werkt, maar naam niet, ligt de oorzaak waarschijnlijk bij DNS, niet bij de VPN-verbinding zelf.

Verbinding verbreekt bij netwerkwissel

Bij mobiele apparaten zijn WLAN-wissels, mobiele wissels, captive portals en energiebesparingsmechanismen typische oorzaken. Test met een tweede netwerk en controleer of het gedrag reproduceerbaar is.

Als gebruikers vaak tussen netwerken wisselen, moet worden gecontroleerd of de applicatie met korte VPN-onderbrekingen kan omgaan of dat een ander toegangsmodel beter past.

Checklist

Voor de uitrol

  • Ondersteunde OpenVPN-client gedefinieerd.
  • SSL-VPN-gebruikersgroep gecontroleerd.
  • MFA voor Remote Access getest.
  • VPN Portal met geldig certificaat bereikbaar.
  • Device Access en toegang vanaf internet bewust beperkt.
  • Firewallregels voor VPN-zone gemaakt en gelogd.
  • Split Tunnel of Full Tunnel gedocumenteerd.
  • Profielverdeling en apparaatwisselproces opgehelderd.

Na de import

  • Profiel in OpenVPN Connect zichtbaar.
  • Android-VPN-toestemming bevestigd.
  • Verbinding met testgebruiker opgezet.
  • DNS, interne doelen en firewallregel-match gecontroleerd.
  • WLAN, mobiele netwerken en netwerkwissel getest.
  • Oude profielen verwijderd.

In bedrijf

  • OpenVPN-app en Android up-to-date houden.
  • Gebruikersgroepen regelmatig controleren.
  • Oude profielen bij vertrek of apparaatverlies verwijderen.
  • VPN-logs bij ondersteuningsgevallen vroegtijdig controleren.
  • Bij terugkerende mobiele problemen ZTNA of app-gebaseerde toegang overwegen.

FAQ

Ondersteunt Sophos Connect SSL VPN op Android?

Nee. Sophos Connect ondersteunt Android niet direct voor IPsec en SSL VPN. Op Android wordt een OpenVPN-compatibele client gebruikt.

Moet OpenVPN Connect worden gebruikt?

Niet noodzakelijk. OpenVPN Connect is echter een gangbare standaard voor OpenVPN-profielen op Android. Als een andere client wordt gebruikt, moet deze intern duidelijk worden gedocumenteerd en ondersteund.

Werkt MFA met SSL VPN op Android?

Ja, als MFA op de Sophos Firewall voor Remote Access correct is ingesteld. Afhankelijk van de configuratie wordt de tweede factor bij het inloggen of via de wachtwoordinvoer verwerkt.

Is SSL VPN op Android beter dan IPsec?

Niet per se. SSL VPN is vaak praktisch als OpenVPN-profielen al zijn ingevoerd. Voor sommige omgevingen kan een ander Remote-Access-ontwerp met IPsec, ZTNA of app-gebaseerde toegang beter passen.

Waarom werkt de verbinding, maar geen interne applicatie?

Dan is de tunnel slechts een deel van de controle. Vaak ontbreken firewallregels, DNS-resolutie, routing of retourpaden. In de Log Viewer moet worden gecontroleerd of verkeer uit de VPN-zone de verwachte regel treft.