Naar de inhoud
Avanet

Sophos Connect of SSL VPN: welke oplossing voor externe toegang is de juiste?

Sophos Firewall biedt meerdere paden voor externe toegang. In oudere omgevingen vind je vaak nog de klassieke SSL VPN-client of oude IPsec-profielen. In de huidige SFOS-versies is Sophos Connect de centrale client voor veel scenario’s voor externe toegang, maar de pasvorm varieert afhankelijk van het platform, het protocol en het besturingsmodel.

Deze beslissingsgids laat zien wanneer Sophos Connect met IPsec, Sophos Connect met SSL VPN, een OpenVPN-compatibele client of ZTNA zinvol is. Voor omgevingen met SFOS 22.0 MR1 is het ook belangrijk: Legacy Remote Access IPsec mag niet langer als verouderd worden achtergelaten. De migratie wordt beschreven in het artikel Migreer of IPsec voor externe toegang tot SFOS 22 MR1.

Welk VPN-artikel past?

Remote Access en Site-to-Site VPN worden op verschillende plaatsen in Sophos Firewall geconfigureerd. Het eerste dat belangrijk is voor beheerders is of het gaat om gebruikerstoegang, sitenetwerken, clientbediening, identiteit of probleemoplossing.

Korte beslissingshulp

  • Windows-clients met centrale distributie: Sophos Connect met IPsec of SSL VPN.
  • macOS-clients van Sophos Connect 2.0: Sophos Connect met IPsec of SSL VPN, afhankelijk van firewallconfiguratie.
  • Windows-ARM: Sophos Connect vanaf versie 2.5.
  • iOS, iPadOS, Android of andere mobiele platforms: OpenVPN-compatibele client- of besturingssysteem-on-board bronnen, afhankelijk van het protocol.
  • Buitenlandse netwerken met geblokkeerde IPsec: Controleer SSL VPN of ZTNA.
  • Alleen toegang tot individuele applicaties: Controleer ZTNA of Clientless Access.
  • Verouderde externe toegang IPsec vóór SFOS 22 MR1: Migreren en verwijderen. De tabel is bewust vereenvoudigd. In de praktijk is het niet alleen de klant die beslist, maar ook het authenticatiemodel, MFA, de netwerkomgeving van de gebruiker, de benodigde interne doelstellingen en hoe profielen worden gedistribueerd en bijgewerkt.

Platform- en profielgrenzen

Voordat u een beslissing neemt, moet u niet alleen maar “IPsec of SSL VPN” vragen. Even belangrijk is of het gewenste platform het juiste profieltype en de gewenste distributie ondersteunt.

  • Windows 10/11 64-bit: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: ja; Inrichtingsbestand: ja.
  • Windows-ARM: Sophos Connect IPsec: van Sophos Connect 2.5; Sophos Connect SSL VPN: van Sophos Connect 2.5; Inrichtingsbestand: van Sophos Connect 2.5.
  • macOS Intel: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: van Sophos Connect 2.0; Inrichtingsbestand: nee.
  • macOS Apple Silicium: Sophos Connect IPsec: ja, via Rosetta 2; Sophos Connect SSL VPN: van Sophos Connect 2.0, via Rosetta 2; Inrichtingsbestand: nee.
  • iOS, iPadOS, Android: Sophos Connect IPsec: niet bij Sophos Connect; Sophos Connect SSL VPN: niet bij Sophos Connect; Inrichtingsbestand: niet bij Sophos Connect.
  • Oude 32-bit Windows-clients: alleen oudere Sophos Connect-versies tot en met 2.4 ondersteunen nog 32-bit Windows. Huidige implementaties moeten met 64-bit Windows worden gepland.

Voor macOS betekent dit praktisch: Sophos Connect kan nu SSL VPN gebruiken, maar niet met dezelfde provisioninglogica als Windows. Profielen moeten doelbewust worden geïmporteerd en opnieuw worden ingericht na relevante wijzigingen. Voor mobiele platforms blijft Sophos Connect niet de directe klant; Afhankelijk van het protocol zijn OpenVPN-compatibele apps of besturingssysteemfuncties vereist.

Sophos Maak verbinding met IPsec

Sophos Connect met IPsec is vaak de eerste keuze wanneer klassieke client-VPN’s nodig zijn voor Windows- of macOS-apparaten. IPsec levert doorgaans hoge prestaties en is zeer geschikt voor beheerde bedrijfsklanten waar profielen op een gecontroleerde manier kunnen worden gedistribueerd.

Voordelen:

  • goede prestaties in veel omgevingen
  • geschikt voor beheerde Windows- en macOS-clients
  • Centrale firewallregels mogelijk via de VPN-zone
  • duidelijke scheiding tussen toegang op afstand en site-to-site VPN
  • handig als Sophos Connect toch als standaardclient wordt gebruikt

Limieten:

  • IPsec kan worden geblokkeerd in hotels, gastnetwerken, mobiele netwerken of strikt gefilterde netwerken van derden.
  • Profielen en gebruikerstoewijzingen moeten goed onderhouden worden.
  • Na wijzigingen aan pools, DNS of doelnetwerken moeten clients opnieuw worden getest.
  • Legacy Remote Access IPsec mag niet worden verward met de huidige Remote Access IPsec-configuratie.

Voor het instellen op de firewall is Configureer Sophos Connect Client op de Sophos Firewall het juiste verbindingsartikel.

Sophos Maak verbinding met SSL VPN

Sophos Connect kan ook gebruik maken van SSL VPN-verbindingen. Dit is al lange tijd relevant op Windows en sinds Sophos Connect 2.0 ondersteunt Sophos ook SSL VPN op macOS. Dit is vooral belangrijk omdat oudere Avanet- en Sophos Connect-instructies deels dateren uit een tijd waarin macOS met Sophos Connect alleen IPsec kon doen.

Voordelen:

  • vaak beter bruikbaar in beperkende netwerken van derden dan IPsec
  • Windows en macOS worden ondersteund met de huidige Sophos Connect-versies
  • OpenVPN-technologie is gemakkelijk te begrijpen tijdens het gebruik
  • is logisch als bestaande SSL VPN-processen al zijn opgezet

Limieten:

  • Prestaties en schaling zijn meer afhankelijk van het apparaat, het protocol, de codering en de belasting.
  • Gebruikersprofielen en certificaten moeten goed beheerd worden.
  • Oude SSL VPN-clients en oude OpenVPN-versies mogen niet zonder controle worden gebruikt.
  • Mobiele apparaten gebruiken doorgaans nog steeds andere OpenVPN-compatibele clients.

De configuratie aan de firewallzijde bevindt zich in Stel Sophos Firewall SSL VPN External toegang in. Voor Windows is er de stapsgewijze handleiding Stel Sophos SSL VPN in met Sophos Connect on Windows. Voor macOS moet u de huidige Sophos Connect-versie controleren op nieuwe installaties, omdat de platformondersteuning in 2026 is gewijzigd. Het juiste bedieningsartikel hiervoor is Controleer en update de Sophos Connect Client-versie veilig.

OpenVPN-clients en mobiele platforms

Sophos Connect ondersteunt niet direct alle platforms. Mobiele platforms zoals iOS en Android vallen niet direct onder Sophos Connect voor IPsec en SSL VPN. In dergelijke gevallen worden, afhankelijk van het protocol, de ingebouwde bronnen van het besturingssysteem of OpenVPN-compatibele clients gebruikt.

Dit is geen nadeel als het proces duidelijk gedocumenteerd is. Het wordt pas problematisch als gebruikers verschillende apps, oude profielen en onduidelijke instructies gebruiken. Het volgende moet daarom duidelijk worden gedefinieerd voor mobiele apparaten:

  • welk protocol wordt gebruikt
  • welke app wordt ondersteund
  • waar het configuratiebestand vandaan komt
  • hoe MFA of certificaten werken
  • wie apparaatwijzigingen ondersteunt

Er zijn specifieke instructies beschikbaar voor Sophos SSL VPN met Sophos Connect op Windows, Sophos SSL VPN met Sophos Connect op macOS, Sophos SSL VPN op iPhone en iPad en Sophos SSL-VPN op Android.

Profieldistributie en updates

Problemen met externe toegang komen vaak niet voort uit het geselecteerde tunneltype, maar uit oude profielen. Als de gateway, het certificaat, de DNS, de gebruikersgroep, de IP-pool, de portal of het inrichtingsbestand worden gewijzigd, moet u de profielinventaris actief opschonen.

Praktische regels:- Volg Sophos Connect-versies centraal.

  • Verdeel de bestanden .scx, .tgb, .ovpn en .pro niet ongecontroleerd parallel.
  • Bij .pro-provisioning ontvangt de client de configuratie automatisch, maar de daadwerkelijke SSL VPN-gateways komen nog steeds uit de geïmporteerde SSL VPN-configuratie en kunnen afwijken van het portaladres.
  • Controleer bij SSL VPN of gebruikers nieuwe configuraties via Update policy in het User Portal kunnen downloaden of dat het profiel handmatig opnieuw moet worden verspreid.
  • Maak bewust onderscheid tussen bestandstypen: .scx wordt meestal gebruikt voor Sophos Connect IPsec-profielen, .tgb voor IPsec-profielen voor bepaalde third-party of mobiele clients, .ovpn voor SSL VPN-configuraties en .pro voor Windows-provisioning.
  • Bestandstypen bewust onderscheiden: .scx is meestal voor Sophos Connect IPsec-profielen, .tgb voor IPsec-profielen voor bepaalde third-party of mobiele clients, .ovpn voor SSL VPN-configuraties en .pro voor Windows-provisioning.
  • Houd profielnamen uniek, vooral voor meerdere locaties.
  • Plan een nieuwe import na wijzigingen in SSL VPN of IPsec.
  • Test Windows, macOS en mobiele clients afzonderlijk.
  • Verwijder oude profielen bij het verlaten, wisselen van apparaat of migreren.

Het operationele proces voor clientupdates is beschikbaar in Controleer en update de Sophos Connect Client-versie veilig.

Wanneer ZTNA beter past

Niet elk geval van externe toegang heeft een klassieke VPN nodig. Wanneer gebruikers alleen toegang nodig hebben tot individuele webapplicaties of gedefinieerde interne services, is ZTNA vaak de schonere architectuur. De client krijgt dan geen algemene netwerktoegang, maar alleen toegang tot de applicaties die hij nodig heeft.

ZTNA is met name geschikt als:

  • er is geen volledige netwerktoegankelijkheid vereist
  • externe gebruikers gebruiken alleen individuele applicaties
  • Toegang moet nauwer verbonden zijn met identiteit, apparaat en beleid
  • VPN-regels zijn historisch gegroeid en te breed geworden

ZTNA vervangt niet elke VPN. Een klassieke VPN kan nog steeds nodig zijn voor beheerderstoegang, veel protocollen, speciale software of complexe netwerkpaden. Gebruik om te beginnen Sophos ZTNA Gateway-connector.

Beveiliging en operaties

Ongeacht de gekozen klant blijven de operationele problemen hetzelfde. Toegang op afstand is een publiek toegankelijk toegangspunt tot het netwerk en moet niet alleen technisch functioneren, maar ook schoon worden beheerd.

Belangrijke punten:

  • Activeer en test MFA voor externe toegang.
  • Controleer bij Sophos Connect of de MFA-methode bij de client past. Challenge-based OTP-methoden werken niet hetzelfde als User Portal of WebAdmin; Sophos Connect werkt met wachtwoord-plus-OTP of call-/push-gebaseerde processen.
  • Controleer gebruikersgroepen regelmatig.
  • Geef alleen de vereiste doelnetwerken en -services vrij.
  • Geef de firewallregels voor de VPN-zone duidelijk een naam en log deze in het logboek.
  • Verwijder VPN-profielen bij het verlaten of wisselen van apparaat.
  • Ruim oude verouderde configuraties op vóór SFOS 22.0 MR1.
  • Gebruik logviewer en centrale logs voor inlog- en verbindingsfouten.

Voor MFA past Stel Sophos Firewall MFA in. Als er verbindingen tot stand zijn gebracht maar er geen verkeer stroomt, kunnen Sophos Firewall IPsec VPN-probleemoplossing en Test firewallregels met Log Viewer, Policy Test en Packet Capture helpen.

Als de VPN-portal, gebruikersportal of SSL VPN toegankelijk zijn via internet, moet u ook Apparatus access and local service ACL aanvinken. Toegang op afstand is niet alleen een clientprobleem, maar ook een publiek toegankelijke firewallservice.

Veelgestelde vragen

Is Sophos Connect de opvolger van de oude SSL VPN-client?

Voor veel Windows- en macOS-scenario’s is Sophos Connect nu de centrale Sophos-client. Niettemin kunnen OpenVPN-compatibele clients nog steeds nuttig zijn, vooral op mobiele platforms of in speciale gevallen.

Ondersteunt Sophos Connect SSL VPN op macOS?

Ja. Sinds Sophos Connect 2.0 kan de Sophos Connect-client op macOS ook gebruik maken van Remote Access SSL VPN. Hiervoor moeten de clientversie, firewallversie en configuratie overeenkomen.

Is IPsec sneller dan SSL VPN?

Vaak wel, maar niet over de hele linie. IPsec presteert vaak beter, terwijl SSL VPN beter presteert in beperkende netwerken van derden. De beslissende factoren zijn het apparaat, de client, het netwerkpad, de codering en het specifieke toegangspatroon.

Hoe zit het met Windows-ARM?

Sophos Connect ondersteunt Windows ARM vanaf versie 2.5. Bij oudere clientversies of oude interne softwarepakketten moet u daarom controleren welke versie daadwerkelijk wordt gedistribueerd.

Wanneer is ZTNA beter dan klassieke VPN?

ZTNA is vaak beter wanneer gebruikers alleen individuele applicaties nodig hebben en brede netwerktoegang niet vereist is. Klassieke VPN blijft bruikbaar voor veel protocollen, beheerderstoegang, speciale software of complexe netwerkpaden.

Wat moet er vóór SFOS 22.0 MR1 worden gecontroleerd?

Vóór SFOS 22.0 MR1 moet worden gecontroleerd of Legacy Remote Access IPsec nog bestaat. Deze oude configuratie blokkeert de upgrade en moet vooraf worden gemigreerd of verwijderd.