Przejdz do tresci
Avanet

Konfiguracja Sophos SSL VPN z Sophos Connect w Windows

SSL VPN pozostaje na Sophos Firewall ważną metodą Remote Access, szczególnie gdy IPsec sprawia problemy w hotelach, sieciach gościnnych albo mocno filtrowanych sieciach zewnętrznych. W Windows SSL VPN jest dziś w wielu środowiskach używany przez Sophos Connect.

Ten artykuł opisuje instalację w Windows, import konfiguracji .ovpn oraz najważniejsze kontrole po zestawieniu połączenia. Przy podstawowym wyborze między Sophos Connect, SSL VPN, IPsec, klientami mobilnymi i ZTNA warto najpierw przeczytać Sophos Connect czy SSL VPN: które rozwiązanie Remote Access pasuje?.

Klasyfikacja

Ta instrukcja dotyczy Sophos Firewall z SFOS. W zależności od platformy lub sytuacji początkowej właściwy może być inny punkt wejścia:

Ważne: Sophos Connect obsługuje SSL VPN nie tylko w Windows. Od Sophos Connect 2.0 Remote Access SSL VPN jest możliwy również na macOS. Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio obsługiwane przez Sophos Connect dla IPsec i SSL VPN; używa się tam klientów kompatybilnych z OpenVPN albo funkcji systemu operacyjnego.

Wymagania

  • Sophos Firewall ze skonfigurowanym SSL-VPN-Remote-Access
  • użytkownik z uprawnieniem do SSL VPN
  • dostęp do VPN Portal albo administracyjnie dostarczony plik .ovpn
  • Sophos Connect w aktualnej wersji pasującej do platformy Windows
  • Windows 10 albo Windows 11, a przy Sophos Connect 2.5 lub nowszym także Windows ARM
  • skonfigurowane MFA/OTP, jeżeli Remote Access jest nim chroniony
  • reguły firewall dla ruchu ze strefy VPN
  • ustalony proces dystrybucji nowych plików .ovpn po zmianach

Jeżeli konfiguracja SSL VPN po stronie firewalla nie jest jeszcze gotowa, należy najpierw wdrożyć Konfigurację Sophos Firewall SSL VPN Remote Access.

Przed aktualizacją do SFOS 22 MR1 należy dodatkowo sprawdzić, czy istnieją jeszcze stare konfiguracje Remote Access IPsec. SSL VPN nie jest tym bezpośrednio dotknięty, ale wiele środowisk właśnie wtedy ponownie ocenia Remote Access. Procedurę opisuje Migracja legacy Remote Access IPsec przed SFOS 22 MR1.

Planowanie przed pobraniem

Zanim użytkownicy pobiorą klienta, powinno być jasne, jak SSL VPN będzie eksploatowany. Wiele późniejszych błędów nie wynika z instalacji, lecz ze starych profili, niejasnych uprawnień albo zbyt szerokich reguł firewall.

Ważne pytania planistyczne:

  • Użytkownicy: którzy użytkownicy albo grupy są uprawnieni do SSL VPN jako Policy members?
  • Portal: czy VPN Portal musi być dostępny z internetu, czy plik .ovpn będzie dystrybuowany administracyjnie?
  • Certyfikat: czy certyfikat pasuje do publicznego FQDN i czy przeglądarka nie generuje ostrzeżenia?
  • MFA: czy OTP/MFA jest wymagane dla Remote Access i czy rollout tokenów został zakończony?
  • DNS: czy potrzebne są wewnętrzne serwery DNS i domeny wyszukiwania?
  • Dostęp: do których sieci i usług wewnętrznych można przechodzić ze strefy VPN?
  • Eksploatacja: kto aktualizuje Sophos Connect i dystrybuuje nowe profile po zmianach?

Jeżeli VPN Portal jest publicznie dostępny, nie należy traktować go wyłącznie jako strony pobierania. Jest to usługa logowania firewalla i należy do powierzchni ataku. Dlatego Device Access, certyfikat, MFA, logowanie oraz ewentualne ograniczenia źródeł lub krajów powinny być świadomie sprawdzone.

1. Zaloguj się do VPN Portal

Otwórz VPN Portal Sophos Firewall w przeglądarce i zaloguj się użytkownikiem VPN.

Ekran logowania VPN Portal Sophos Firewall v20
VPN Portal jest typowym punktem wejścia dla użytkowników, ale powinien działać z prawidłowym certyfikatem, MFA i świadomie skonfigurowanym Device Access.

Jeżeli przeglądarka ostrzega przed certyfikatem, należy sprawdzić przyczynę. W środowiskach produkcyjnych prawidłowy certyfikat dla VPN Portal jest czystszy niż trwały wyjątek w przeglądarce. W przypadku publicznych portali certyfikat, MFA i Device Access nie są detalami pobocznymi, lecz częścią bezpieczeństwa Remote Access. Do utwardzenia pasuje Device Access i Local Service ACL na Sophos Firewall.

Jeśli użytkownik po udanym logowaniu nie widzi konfiguracji SSL VPN, rzadko jest to problem Windows. Najpierw należy sprawdzić, czy użytkownik albo jego grupa są zawarte w odpowiedniej SSL-VPN-Policy jako Policy members i czy osiągnięto właściwy portal.

2. Pobierz Sophos Connect i konfigurację SSL VPN

W VPN Portal przejdź do obszaru VPN. Udostępniany jest tam Sophos Connect Client oraz konfiguracja SSL VPN. Dla SSL VPN istotny jest plik .ovpn.

Sophos Firewall VPN Portal - pobieranie klienta i konfiguracji
W VPN Portal udostępniane są klient i konfiguracja .ovpn; plik powinien odpowiadać aktualnej konfiguracji firewalla.

Sophos Connect Client można też pobrać bezpośrednio ze strony Sophos: Pobierz Sophos Connect Client.

W środowiskach zarządzanych klient nie powinien być instalowany przypadkowo. Lepsze jest zdefiniowane pakietowanie oprogramowania z jasną wersją, grupą testową i procesem aktualizacji. Zatwierdzona wersja powinna wynikać z oficjalnych Release Notes, VPN Portal albo wewnętrznego pakietu oprogramowania, a nie z pojedynczych pobrań na urządzeniach użytkowników. Aktualne wersje Sophos Connect zawierają również aktualizacje bezpieczeństwa i komponentów, na przykład dla OpenVPN albo OpenSSL.

Jeżeli na urządzeniu z Windows jest jeszcze zainstalowany stary klient SSL VPN albo inny klient oparty na OpenVPN dla tego samego połączenia, należy uporządkować ten stan przed rolloutem. Kilka równolegle utrzymywanych klientów VPN szybko prowadzi do błędnych adapterów, starych profili i niejasnych przypadków supportowych.

3. Zainstaluj Sophos Connect

Uruchom instalator i wykonaj kroki instalacji.

Instalacja Sophos Connect SSL VPN Client w Windows
Instalacja konfiguruje Sophos Connect i wymagany adapter VPN; w środowiskach zarządzanych ten krok powinien być objęty pakietowaniem.

Jeżeli podczas instalacji trzeba potwierdzić adapter sieciowy, jest to element klienta VPN. W zarządzanych środowiskach Windows ten krok powinien być poprawnie przygotowany przez dystrybucję oprogramowania albo lokalne uprawnienia administratora.

Po instalacji należy udokumentować wersję Sophos Connect. Pomaga to później w przypadkach supportowych, ponieważ błędy klienta, błędy profilu i błędy firewalla szybko się mieszają. Do bieżącej eksploatacji pasuje Sprawdzanie wersji Sophos Connect Client i bezpieczna aktualizacja.

4. Zaimportuj konfigurację SSL VPN

Po instalacji ikona Sophos Connect pojawi się w obszarze powiadomień paska zadań Windows. Otwórz Sophos Connect i zaimportuj pobrany plik .ovpn.

Import konfiguracji SSL VPN w Sophos Connect Client
Po instalacji Sophos Connect nie ma jeszcze połączenia; dopiero import profilu pozwala używać klienta.
Import pliku konfiguracyjnego Sophos Connect SSL VPN Client w Windows
Konfiguracja SSL VPN jest importowana celowo; stare lub zduplikowane profile należy usunąć przed rolloutem.
Logowanie do Sophos SSL VPN Client w Windows
Po imporcie nazwa połączenia powinna być jednoznaczna, aby użytkownicy i helpdesk wybierali właściwy profil.

Przy kilku profilach nazwa połączenia powinna być jednoznaczna. Stare lub zduplikowane profile szybko prowadzą do przypadków supportowych, ponieważ użytkownicy wybierają niewłaściwy cel.

Po zmianach w SSL-VPN-Policy, certyfikacie, gateway, DNS, grupie użytkowników albo logice provisioningu połączenie powinno zostać zaimportowane ponownie. Aktualizacja klienta nie zastępuje automatycznie starego profilu .ovpn. Jeżeli Sophos Connect zgłasza Policy mismatch albo Compression mismatch, często problemem jest właśnie stan profilu.

Typowe wskazówki na przestarzały albo błędny profil:

  • Połączenie pokazuje starą nazwę lokalizacji: zwykle nadal zaimportowany jest stary profil. Usunąć stare połączenie i ponownie zaimportować aktualny .ovpn.
  • Ostrzeżenie certyfikatu lub gateway: FQDN, certyfikat albo Override Hostname mogły zostać zmienione. Pobrać profil z aktualnego VPN Portal.
  • DNS nie działa tylko na pojedynczych klientach: sprawdzić stare wartości DNS w profilu albo lokalne zachowanie DNS. Ponownie zaimportować profil i sprawdzić DNS w Windows.
  • Użytkownik nie widzi konfiguracji w portalu: sprawdzić przypisanie Policy albo kontekst użytkownika. Skontrolować SSL-VPN-Policy i członkostwo w grupach.

5. Zestaw połączenie VPN

Wybierz zaimportowane połączenie i kliknij Connect. Następnie zaloguj się użytkownikiem VPN. Jeżeli MFA albo OTP jest aktywne, drugi czynnik musi zostać potwierdzony zgodnie z konfiguracją firewalla.

Po zestawieniu połączenia nie należy sprawdzać tylko statusu w kliencie. Decydujące jest to, czy wymagane cele wewnętrzne są osiągalne.

Kontrola po instalacji

Co najmniej te punkty powinny zostać sprawdzone z użytkownikiem testowym:

  • Sophos Connect pokazuje połączenie jako zestawione.
  • Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN.
  • Wewnętrzne nazwy DNS są poprawnie rozwiązywane.
  • Wymagane serwery i aplikacje są osiągalne.
  • Zachowanie Internetu odpowiada projektowi: Split Tunnel albo Full Tunnel.
  • W Log Viewer widoczna jest oczekiwana reguła firewall dla ruchu ze strefy VPN.
  • MFA jest wymagane zgodnie z planem.
  • Świadomie niedozwolony cel pozostaje zablokowany.
  • Zerwanie połączenia i ponowne logowanie działają.

Jeżeli połączenie jest zestawione, ale dostęp nie działa, przyczyna często nie leży po stronie klienta, lecz w regułach firewall, DNS, routingu albo NAT. Do analizy pasuje Testowanie reguły firewall z Log Viewer, Policy Test i Packet Capture.

Szybka kontrola po stronie Windows

Na kliencie Windows proste testy pomagają przed zmianą konfiguracji firewalla:

ipconfig /all
route print
nslookup intranet.example.local
ping 10.10.10.10

Nie chodzi przy tym o dopuszczenie każdego pinga. Decydujące jest, czy klient otrzymał adres SSL VPN, czy istnieje trasa do wewnętrznej sieci docelowej i czy DNS rozwiązuje przez oczekiwany serwer. Jeśli dostęp działa po adresie IP, ale nie po nazwie, bardziej prawdopodobny jest DNS niż reguła firewalla.

Eksploatacja i bezpieczeństwo

SSL VPN jest publicznie osiągalną usługą Remote Access. Dlatego należy dokumentować nie tylko instalację, lecz także eksploatację:

  • regularnie aktualizować Sophos Connect;
  • aktywować i testować MFA dla Remote Access;
  • regularnie sprawdzać grupy VPN;
  • ograniczać dostęp do portalu przez Device Access i Local Service ACL, o ile to możliwe;
  • utrzymywać wąskie reguły firewall dla strefy VPN i logować je;
  • usuwać stare pliki .ovpn i przestarzałe profile;
  • przy dłuższym przechowywaniu logów zaplanować Syslog albo centralną analizę.

Do podstaw MFA pasuje Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access. W przypadku plików logów i service logs pomocny jest Sophos Firewall Troubleshooting: Services i Logs.

Troubleshooting

Logowanie do VPN Portal nie działa

Sprawdź użytkownika, hasło, MFA, członkostwo w grupach i serwer uwierzytelniania. Jeżeli uczestniczy AD, RADIUS albo Microsoft Entra ID SSO, uwierzytelnianie należy przetestować oddzielnie od VPN.

Użytkownik nie widzi konfiguracji SSL VPN w VPN Portal

Jeśli logowanie działa, ale nie widać pliku .ovpn ani pobierania SSL VPN, nie należy szukać przyczyny na kliencie Windows. Najpierw trzeba sprawdzić SSL-VPN-Policy, Policy members, członkostwo w grupach, dostęp do portalu i limit User-ID. Procedurę po stronie firewalla opisuje Konfiguracja Sophos Firewall SSL VPN Remote Access.

Nie można zaimportować pliku .ovpn

Najpierw sprawdź, czy plik rzeczywiście należy do aktualnej konfiguracji firewalla i czy Sophos Connect jest wystarczająco aktualny. Przy znakach specjalnych w certyfikatach albo danych użytkownika należy używać aktualnego klienta.

Jeżeli pobieranie pliku .ovpn w samym VPN Portal kończy się błędem mimo poprawnego logowania i uprawnień, należy dodatkowo sprawdzić limit Sophos Firewall User-ID.

Połączenie jest zestawione, ale systemy wewnętrzne są nieosiągalne

Sprawdź DNS, reguły firewall, routing, NAT i drogę powrotną. W Log Viewer powinien być widoczny ruch ze strefy VPN. Jeżeli logi się nie pojawiają, ruch prawdopodobnie nie trafia w oczekiwaną regułę albo logowanie jest wyłączone.

Jeżeli małe dostępy działają, ale większe transfery plików albo określone aplikacje się zawieszają, należy dodatkowo sprawdzić MTU/MSS: Sprawdzanie MTU i MSS na Sophos Firewall przy problemach VPN.

Sophos Connect zgłasza Policy mismatch albo Compression mismatch

Takie komunikaty często wskazują, że konfiguracja firewalla została zmieniona, ale klient nadal używa starego profilu SSL VPN. W takim przypadku należy pobrać aktualny plik .ovpn z VPN Portal albo rozdystrybuować go administracyjnie i następnie zaimportować ponownie.

Po zmianie profilu Sophos Connect nadal łączy się ze starym celem

Często nadal istnieje stary wpis połączenia albo użytkownicy wybierają w kliencie niewłaściwą nazwę profilu. Należy usunąć stare profile, ponownie zaimportować aktualny .ovpn i wybrać nazwę profilu tak, aby lokalizacja, środowisko albo cel były jednoznacznie rozpoznawalne.

Połączenie zrywa się w obcych sieciach

SSL VPN jest często bardziej tolerancyjny niż IPsec, ale nie jest odporny na restrykcyjne sieci, Captive Portals, wymuszone proxy ani niestabilne WLAN. W takich przypadkach należy przetestować drugą sieć i sprawdzić, czy Split Tunnel, port, protokół albo ZTNA pasują lepiej.

Zbieranie danych supportowych

Jeżeli błąd nie jest od razu widoczny, Sophos Connect może wygenerować techniczny raport supportowy. Zawiera on zdarzenia połączeń, konfiguracje VPN i informacje o punkcie końcowym. Przed przekazaniem należy sprawdzić dane wrażliwe, takie jak nazwy użytkowników, wewnętrzne nazwy hostów, adresy IP i FQDN gateway.

Po stronie firewalla równolegle pomagają Log Viewer, sslvpn.log, openvpn-status*.log i odpowiednia reguła firewall. Przypisanie plików logów opisuje Sophos Firewall Troubleshooting: Services i Logs.

FAQ

Z którymi systemami operacyjnymi kompatybilny jest Sophos Connect Client?

Aktualne wersje Sophos Connect obsługują Windows 10 i 11 jako systemy 64-bitowe. Windows ARM jest obsługiwany od Sophos Connect 2.5.

Czy macOS jest obsługiwany dla SSL VPN?

Tak. Od Sophos Connect 2.0 Sophos Connect Client na macOS może również używać Remote Access SSL VPN.

Czy Sophos Connect Client może być używany na platformach mobilnych?

Nie. Sophos Connect nie obsługuje bezpośrednio Android ani iOS dla IPsec i SSL VPN. Dla platform mobilnych używa się, zależnie od protokołu, klientów kompatybilnych z OpenVPN albo funkcji systemu operacyjnego.

Czy Sophos Connect Client obsługuje Windows ARM?

Tak. Windows ARM jest obsługiwany od Sophos Connect 2.5.

Czy SSL VPN jest lepszy niż IPsec?

Nie ogólnie. SSL VPN często działa lepiej w restrykcyjnych sieciach zewnętrznych. IPsec może być wydajniejszy. Decydujące są urządzenia użytkowników, środowiska sieciowe, wymagania bezpieczeństwa i procesy operacyjne.