Sophos Connect of SSL VPN: welke oplossing voor externe toegang is de juiste?
Sophos Firewall biedt meerdere paden voor externe toegang. In oudere omgevingen vind je vaak nog de klassieke SSL VPN-client of oude IPsec-profielen. In de huidige SFOS-versies is Sophos Connect de centrale client voor veel scenario’s voor externe toegang, maar de pasvorm varieert afhankelijk van het platform, het protocol en het besturingsmodel.
Deze beslissingsgids laat zien wanneer Sophos Connect met IPsec, Sophos Connect met SSL VPN, een OpenVPN-compatibele client of ZTNA zinvol is. Voor omgevingen met SFOS 22.0 MR1 is het ook belangrijk: Legacy Remote Access IPsec mag niet langer als verouderd worden achtergelaten. De migratie wordt beschreven in het artikel Migreer of IPsec voor externe toegang tot SFOS 22 MR1.
Welk VPN-artikel past?
Remote Access en Site-to-Site VPN worden op verschillende plaatsen in Sophos Firewall geconfigureerd. Het eerste dat belangrijk is voor beheerders is of het gaat om gebruikerstoegang, sitenetwerken, clientbediening, identiteit of probleemoplossing.
- Externe toegang voor gebruikers plannen: Dit artikel.
- Configureer Sophos Connect op de firewall: Configureer Sophos Connect Client met Sophos Firewall.
- SSL VPN instellen voor externe toegang: Stel Sophos Firewall SSL VPN Externe toegang in.
- Een SSL VPN-client instellen op Windows of macOS: Ramen of macOS.
- SSL VPN instellen op iPhone, iPad of Android: iPhone en iPad of Android.
- Bouw site-naar-site IPsec tussen sites: Stel Sophos Firewall site-naar-site IPsec VPN in.
- IPsec-tunnel is verbonden, maar het verkeer werkt niet: Sophos Firewall IPsec VPN-probleemoplossing.
- VPN is verbonden, maar grote overdrachten lopen vast: Controleer Sophos Firewall MTU en MSS op VPN-problemen.
- Gebruik Microsoft Entra ID SSO of voorwaardelijke toegang: Stel Microsoft Entra ID SSO in voor Sophos Connect en VPN Portal.
- Verwijder verouderde externe toegang IPsec vóór SFOS 22 MR1: Migreer of IPsec voor externe toegang tot SFOS 22 MR1.
- Sophos Connect-clientversies en -profielen onderhouden: Beheer en update van Sophos Connect Client-versie beschikbaar. Deze scheiding voorkomt veel verkeerde beslissingen. Een groene VPN-status bewijst niet dat de toegang werkt, een clientupdate vervangt geen firewallregel en een probleem met externe toegang is niet automatisch een IPsec-probleem.
Korte beslissingshulp
- Windows-clients met centrale distributie: Sophos Connect met IPsec of SSL VPN.
- macOS-clients van Sophos Connect 2.0: Sophos Connect met IPsec of SSL VPN, afhankelijk van firewallconfiguratie.
- Windows-ARM: Sophos Connect vanaf versie 2.5.
- iOS, iPadOS, Android of andere mobiele platforms: OpenVPN-compatibele client- of besturingssysteem-on-board bronnen, afhankelijk van het protocol.
- Buitenlandse netwerken met geblokkeerde IPsec: Controleer SSL VPN of ZTNA.
- Alleen toegang tot individuele applicaties: Controleer ZTNA of Clientless Access.
- Verouderde externe toegang IPsec vóór SFOS 22 MR1: Migreren en verwijderen. De tabel is bewust vereenvoudigd. In de praktijk is het niet alleen de klant die beslist, maar ook het authenticatiemodel, MFA, de netwerkomgeving van de gebruiker, de benodigde interne doelstellingen en hoe profielen worden gedistribueerd en bijgewerkt.
Platform- en profielgrenzen
Voordat u een beslissing neemt, moet u niet alleen maar “IPsec of SSL VPN” vragen. Even belangrijk is of het gewenste platform het juiste profieltype en de gewenste distributie ondersteunt.
- Windows 10/11 64-bit: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: ja; Inrichtingsbestand: ja.
- Windows-ARM: Sophos Connect IPsec: van Sophos Connect 2.5; Sophos Connect SSL VPN: van Sophos Connect 2.5; Inrichtingsbestand: van Sophos Connect 2.5.
- macOS Intel: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: van Sophos Connect 2.0; Inrichtingsbestand: nee.
- macOS Apple Silicium: Sophos Connect IPsec: ja, via Rosetta 2; Sophos Connect SSL VPN: van Sophos Connect 2.0, via Rosetta 2; Inrichtingsbestand: nee.
- iOS, iPadOS, Android: Sophos Connect IPsec: niet bij Sophos Connect; Sophos Connect SSL VPN: niet bij Sophos Connect; Inrichtingsbestand: niet bij Sophos Connect.
- Oude 32-bit Windows-clients: alleen oudere Sophos Connect-versies tot en met 2.4 ondersteunen nog 32-bit Windows. Huidige implementaties moeten met 64-bit Windows worden gepland.
Voor macOS betekent dit praktisch: Sophos Connect kan nu SSL VPN gebruiken, maar niet met dezelfde provisioninglogica als Windows. Profielen moeten doelbewust worden geïmporteerd en opnieuw worden ingericht na relevante wijzigingen. Voor mobiele platforms blijft Sophos Connect niet de directe klant; Afhankelijk van het protocol zijn OpenVPN-compatibele apps of besturingssysteemfuncties vereist.
Sophos Maak verbinding met IPsec
Sophos Connect met IPsec is vaak de eerste keuze wanneer klassieke client-VPN’s nodig zijn voor Windows- of macOS-apparaten. IPsec levert doorgaans hoge prestaties en is zeer geschikt voor beheerde bedrijfsklanten waar profielen op een gecontroleerde manier kunnen worden gedistribueerd.
Voordelen:
- goede prestaties in veel omgevingen
- geschikt voor beheerde Windows- en macOS-clients
- Centrale firewallregels mogelijk via de
VPN-zone - duidelijke scheiding tussen toegang op afstand en site-to-site VPN
- handig als Sophos Connect toch als standaardclient wordt gebruikt
Limieten:
- IPsec kan worden geblokkeerd in hotels, gastnetwerken, mobiele netwerken of strikt gefilterde netwerken van derden.
- Profielen en gebruikerstoewijzingen moeten goed onderhouden worden.
- Na wijzigingen aan pools, DNS of doelnetwerken moeten clients opnieuw worden getest.
- Legacy Remote Access IPsec mag niet worden verward met de huidige Remote Access IPsec-configuratie.
Voor het instellen op de firewall is Configureer Sophos Connect Client op de Sophos Firewall het juiste verbindingsartikel.
Sophos Maak verbinding met SSL VPN
Sophos Connect kan ook gebruik maken van SSL VPN-verbindingen. Dit is al lange tijd relevant op Windows en sinds Sophos Connect 2.0 ondersteunt Sophos ook SSL VPN op macOS. Dit is vooral belangrijk omdat oudere Avanet- en Sophos Connect-instructies deels dateren uit een tijd waarin macOS met Sophos Connect alleen IPsec kon doen.
Voordelen:
- vaak beter bruikbaar in beperkende netwerken van derden dan IPsec
- Windows en macOS worden ondersteund met de huidige Sophos Connect-versies
- OpenVPN-technologie is gemakkelijk te begrijpen tijdens het gebruik
- is logisch als bestaande SSL VPN-processen al zijn opgezet
Limieten:
- Prestaties en schaling zijn meer afhankelijk van het apparaat, het protocol, de codering en de belasting.
- Gebruikersprofielen en certificaten moeten goed beheerd worden.
- Oude SSL VPN-clients en oude OpenVPN-versies mogen niet zonder controle worden gebruikt.
- Mobiele apparaten gebruiken doorgaans nog steeds andere OpenVPN-compatibele clients.
De configuratie aan de firewallzijde bevindt zich in Stel Sophos Firewall SSL VPN External toegang in. Voor Windows is er de stapsgewijze handleiding Stel Sophos SSL VPN in met Sophos Connect on Windows. Voor macOS moet u de huidige Sophos Connect-versie controleren op nieuwe installaties, omdat de platformondersteuning in 2026 is gewijzigd. Het juiste bedieningsartikel hiervoor is Controleer en update de Sophos Connect Client-versie veilig.
OpenVPN-clients en mobiele platforms
Sophos Connect ondersteunt niet direct alle platforms. Mobiele platforms zoals iOS en Android vallen niet direct onder Sophos Connect voor IPsec en SSL VPN. In dergelijke gevallen worden, afhankelijk van het protocol, de ingebouwde bronnen van het besturingssysteem of OpenVPN-compatibele clients gebruikt.
Dit is geen nadeel als het proces duidelijk gedocumenteerd is. Het wordt pas problematisch als gebruikers verschillende apps, oude profielen en onduidelijke instructies gebruiken. Het volgende moet daarom duidelijk worden gedefinieerd voor mobiele apparaten:
- welk protocol wordt gebruikt
- welke app wordt ondersteund
- waar het configuratiebestand vandaan komt
- hoe MFA of certificaten werken
- wie apparaatwijzigingen ondersteunt
Er zijn specifieke instructies beschikbaar voor Sophos SSL VPN met Sophos Connect op Windows, Sophos SSL VPN met Sophos Connect op macOS, Sophos SSL VPN op iPhone en iPad en Sophos SSL-VPN op Android.
Profieldistributie en updates
Problemen met externe toegang komen vaak niet voort uit het geselecteerde tunneltype, maar uit oude profielen. Als de gateway, het certificaat, de DNS, de gebruikersgroep, de IP-pool, de portal of het inrichtingsbestand worden gewijzigd, moet u de profielinventaris actief opschonen.
Praktische regels:- Volg Sophos Connect-versies centraal.
- Verdeel de bestanden
.scx,.tgb,.ovpnen.proniet ongecontroleerd parallel. - Bij
.pro-provisioning ontvangt de client de configuratie automatisch, maar de daadwerkelijke SSL VPN-gateways komen nog steeds uit de geïmporteerde SSL VPN-configuratie en kunnen afwijken van het portaladres. - Controleer bij SSL VPN of gebruikers nieuwe configuraties via Update policy in het User Portal kunnen downloaden of dat het profiel handmatig opnieuw moet worden verspreid.
- Maak bewust onderscheid tussen bestandstypen:
.scxwordt meestal gebruikt voor Sophos Connect IPsec-profielen,.tgbvoor IPsec-profielen voor bepaalde third-party of mobiele clients,.ovpnvoor SSL VPN-configuraties en.provoor Windows-provisioning. - Bestandstypen bewust onderscheiden:
.scxis meestal voor Sophos Connect IPsec-profielen,.tgbvoor IPsec-profielen voor bepaalde third-party of mobiele clients,.ovpnvoor SSL VPN-configuraties en.provoor Windows-provisioning. - Houd profielnamen uniek, vooral voor meerdere locaties.
- Plan een nieuwe import na wijzigingen in SSL VPN of IPsec.
- Test Windows, macOS en mobiele clients afzonderlijk.
- Verwijder oude profielen bij het verlaten, wisselen van apparaat of migreren.
Het operationele proces voor clientupdates is beschikbaar in Controleer en update de Sophos Connect Client-versie veilig.
Wanneer ZTNA beter past
Niet elk geval van externe toegang heeft een klassieke VPN nodig. Wanneer gebruikers alleen toegang nodig hebben tot individuele webapplicaties of gedefinieerde interne services, is ZTNA vaak de schonere architectuur. De client krijgt dan geen algemene netwerktoegang, maar alleen toegang tot de applicaties die hij nodig heeft.
ZTNA is met name geschikt als:
- er is geen volledige netwerktoegankelijkheid vereist
- externe gebruikers gebruiken alleen individuele applicaties
- Toegang moet nauwer verbonden zijn met identiteit, apparaat en beleid
- VPN-regels zijn historisch gegroeid en te breed geworden
ZTNA vervangt niet elke VPN. Een klassieke VPN kan nog steeds nodig zijn voor beheerderstoegang, veel protocollen, speciale software of complexe netwerkpaden. Gebruik om te beginnen Sophos ZTNA Gateway-connector.
Beveiliging en operaties
Ongeacht de gekozen klant blijven de operationele problemen hetzelfde. Toegang op afstand is een publiek toegankelijk toegangspunt tot het netwerk en moet niet alleen technisch functioneren, maar ook schoon worden beheerd.
Belangrijke punten:
- Activeer en test MFA voor externe toegang.
- Controleer bij Sophos Connect of de MFA-methode bij de client past. Challenge-based OTP-methoden werken niet hetzelfde als User Portal of WebAdmin; Sophos Connect werkt met wachtwoord-plus-OTP of call-/push-gebaseerde processen.
- Controleer gebruikersgroepen regelmatig.
- Geef alleen de vereiste doelnetwerken en -services vrij.
- Geef de firewallregels voor de
VPN-zone duidelijk een naam en log deze in het logboek. - Verwijder VPN-profielen bij het verlaten of wisselen van apparaat.
- Ruim oude verouderde configuraties op vóór SFOS 22.0 MR1.
- Gebruik logviewer en centrale logs voor inlog- en verbindingsfouten.
Voor MFA past Stel Sophos Firewall MFA in. Als er verbindingen tot stand zijn gebracht maar er geen verkeer stroomt, kunnen Sophos Firewall IPsec VPN-probleemoplossing en Test firewallregels met Log Viewer, Policy Test en Packet Capture helpen.
Als de VPN-portal, gebruikersportal of SSL VPN toegankelijk zijn via internet, moet u ook Apparatus access and local service ACL aanvinken. Toegang op afstand is niet alleen een clientprobleem, maar ook een publiek toegankelijke firewallservice.