Konfiguracja Sophos SSL VPN z Sophos Connect w Windows
SSL VPN pozostaje na Sophos Firewall ważną metodą Remote Access, szczególnie gdy IPsec sprawia problemy w hotelach, sieciach gościnnych albo mocno filtrowanych sieciach zewnętrznych. W Windows SSL VPN jest dziś w wielu środowiskach używany przez Sophos Connect.
Ten artykuł opisuje instalację w Windows, import konfiguracji .ovpn oraz najważniejsze kontrole po zestawieniu połączenia. Przy podstawowym wyborze między Sophos Connect, SSL VPN, IPsec, klientami mobilnymi i ZTNA warto najpierw przeczytać Sophos Connect czy SSL VPN: które rozwiązanie Remote Access pasuje?.
Klasyfikacja
Ta instrukcja dotyczy Sophos Firewall z SFOS. W zależności od platformy lub sytuacji początkowej właściwy może być inny punkt wejścia:
- Konfiguracja SSL VPN z Sophos Connect w Windows: ten artykuł.
- Konfiguracja SSL VPN na macOS: Konfiguracja Sophos SSL VPN na macOS.
- Konfiguracja SSL VPN na iOS: Konfiguracja Sophos SSL VPN na iOS.
- Ogólna ocena Sophos Connect: Sophos Connect czy SSL VPN: które rozwiązanie Remote Access pasuje?.
- Utrzymanie wersji klienta Sophos Connect i profili: Sprawdzanie wersji Sophos Connect Client i bezpieczna aktualizacja.
Ważne: Sophos Connect obsługuje SSL VPN nie tylko w Windows. Od Sophos Connect 2.0 Remote Access SSL VPN jest możliwy również na macOS. Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio obsługiwane przez Sophos Connect dla IPsec i SSL VPN; używa się tam klientów kompatybilnych z OpenVPN albo funkcji systemu operacyjnego.
Wymagania
- Sophos Firewall ze skonfigurowanym SSL-VPN-Remote-Access
- użytkownik z uprawnieniem do SSL VPN
- dostęp do VPN Portal albo administracyjnie dostarczony plik
.ovpn - Sophos Connect w aktualnej wersji pasującej do platformy Windows
- Windows 10 albo Windows 11, a przy Sophos Connect 2.5 lub nowszym także Windows ARM
- skonfigurowane MFA/OTP, jeżeli Remote Access jest nim chroniony
- reguły firewall dla ruchu ze strefy
VPN - ustalony proces dystrybucji nowych plików
.ovpnpo zmianach
Jeżeli konfiguracja SSL VPN po stronie firewalla nie jest jeszcze gotowa, należy najpierw wdrożyć Konfigurację Sophos Firewall SSL VPN Remote Access.
Przed aktualizacją do SFOS 22 MR1 należy dodatkowo sprawdzić, czy istnieją jeszcze stare konfiguracje Remote Access IPsec. SSL VPN nie jest tym bezpośrednio dotknięty, ale wiele środowisk właśnie wtedy ponownie ocenia Remote Access. Procedurę opisuje Migracja legacy Remote Access IPsec przed SFOS 22 MR1.
Planowanie przed pobraniem
Zanim użytkownicy pobiorą klienta, powinno być jasne, jak SSL VPN będzie eksploatowany. Wiele późniejszych błędów nie wynika z instalacji, lecz ze starych profili, niejasnych uprawnień albo zbyt szerokich reguł firewall.
Ważne pytania planistyczne:
- Użytkownicy: którzy użytkownicy albo grupy są uprawnieni do SSL VPN jako Policy members?
- Portal: czy VPN Portal musi być dostępny z internetu, czy plik
.ovpnbędzie dystrybuowany administracyjnie? - Certyfikat: czy certyfikat pasuje do publicznego FQDN i czy przeglądarka nie generuje ostrzeżenia?
- MFA: czy OTP/MFA jest wymagane dla Remote Access i czy rollout tokenów został zakończony?
- DNS: czy potrzebne są wewnętrzne serwery DNS i domeny wyszukiwania?
- Dostęp: do których sieci i usług wewnętrznych można przechodzić ze strefy
VPN? - Eksploatacja: kto aktualizuje Sophos Connect i dystrybuuje nowe profile po zmianach?
Jeżeli VPN Portal jest publicznie dostępny, nie należy traktować go wyłącznie jako strony pobierania. Jest to usługa logowania firewalla i należy do powierzchni ataku. Dlatego Device Access, certyfikat, MFA, logowanie oraz ewentualne ograniczenia źródeł lub krajów powinny być świadomie sprawdzone.
1. Zaloguj się do VPN Portal
Otwórz VPN Portal Sophos Firewall w przeglądarce i zaloguj się użytkownikiem VPN.

Jeżeli przeglądarka ostrzega przed certyfikatem, należy sprawdzić przyczynę. W środowiskach produkcyjnych prawidłowy certyfikat dla VPN Portal jest czystszy niż trwały wyjątek w przeglądarce. W przypadku publicznych portali certyfikat, MFA i Device Access nie są detalami pobocznymi, lecz częścią bezpieczeństwa Remote Access. Do utwardzenia pasuje Device Access i Local Service ACL na Sophos Firewall.
Jeśli użytkownik po udanym logowaniu nie widzi konfiguracji SSL VPN, rzadko jest to problem Windows. Najpierw należy sprawdzić, czy użytkownik albo jego grupa są zawarte w odpowiedniej SSL-VPN-Policy jako Policy members i czy osiągnięto właściwy portal.
2. Pobierz Sophos Connect i konfigurację SSL VPN
W VPN Portal przejdź do obszaru VPN. Udostępniany jest tam Sophos Connect Client oraz konfiguracja SSL VPN. Dla SSL VPN istotny jest plik .ovpn.

.ovpn; plik powinien odpowiadać aktualnej konfiguracji firewalla.Sophos Connect Client można też pobrać bezpośrednio ze strony Sophos: Pobierz Sophos Connect Client.
W środowiskach zarządzanych klient nie powinien być instalowany przypadkowo. Lepsze jest zdefiniowane pakietowanie oprogramowania z jasną wersją, grupą testową i procesem aktualizacji. Zatwierdzona wersja powinna wynikać z oficjalnych Release Notes, VPN Portal albo wewnętrznego pakietu oprogramowania, a nie z pojedynczych pobrań na urządzeniach użytkowników. Aktualne wersje Sophos Connect zawierają również aktualizacje bezpieczeństwa i komponentów, na przykład dla OpenVPN albo OpenSSL.
Jeżeli na urządzeniu z Windows jest jeszcze zainstalowany stary klient SSL VPN albo inny klient oparty na OpenVPN dla tego samego połączenia, należy uporządkować ten stan przed rolloutem. Kilka równolegle utrzymywanych klientów VPN szybko prowadzi do błędnych adapterów, starych profili i niejasnych przypadków supportowych.
3. Zainstaluj Sophos Connect
Uruchom instalator i wykonaj kroki instalacji.

Jeżeli podczas instalacji trzeba potwierdzić adapter sieciowy, jest to element klienta VPN. W zarządzanych środowiskach Windows ten krok powinien być poprawnie przygotowany przez dystrybucję oprogramowania albo lokalne uprawnienia administratora.
Po instalacji należy udokumentować wersję Sophos Connect. Pomaga to później w przypadkach supportowych, ponieważ błędy klienta, błędy profilu i błędy firewalla szybko się mieszają. Do bieżącej eksploatacji pasuje Sprawdzanie wersji Sophos Connect Client i bezpieczna aktualizacja.
4. Zaimportuj konfigurację SSL VPN
Po instalacji ikona Sophos Connect pojawi się w obszarze powiadomień paska zadań Windows. Otwórz Sophos Connect i zaimportuj pobrany plik .ovpn.



Przy kilku profilach nazwa połączenia powinna być jednoznaczna. Stare lub zduplikowane profile szybko prowadzą do przypadków supportowych, ponieważ użytkownicy wybierają niewłaściwy cel.
Po zmianach w SSL-VPN-Policy, certyfikacie, gateway, DNS, grupie użytkowników albo logice provisioningu połączenie powinno zostać zaimportowane ponownie. Aktualizacja klienta nie zastępuje automatycznie starego profilu .ovpn. Jeżeli Sophos Connect zgłasza Policy mismatch albo Compression mismatch, często problemem jest właśnie stan profilu.
Typowe wskazówki na przestarzały albo błędny profil:
- Połączenie pokazuje starą nazwę lokalizacji: zwykle nadal zaimportowany jest stary profil. Usunąć stare połączenie i ponownie zaimportować aktualny
.ovpn. - Ostrzeżenie certyfikatu lub gateway: FQDN, certyfikat albo Override Hostname mogły zostać zmienione. Pobrać profil z aktualnego VPN Portal.
- DNS nie działa tylko na pojedynczych klientach: sprawdzić stare wartości DNS w profilu albo lokalne zachowanie DNS. Ponownie zaimportować profil i sprawdzić DNS w Windows.
- Użytkownik nie widzi konfiguracji w portalu: sprawdzić przypisanie Policy albo kontekst użytkownika. Skontrolować SSL-VPN-Policy i członkostwo w grupach.
5. Zestaw połączenie VPN
Wybierz zaimportowane połączenie i kliknij Connect. Następnie zaloguj się użytkownikiem VPN. Jeżeli MFA albo OTP jest aktywne, drugi czynnik musi zostać potwierdzony zgodnie z konfiguracją firewalla.
Po zestawieniu połączenia nie należy sprawdzać tylko statusu w kliencie. Decydujące jest to, czy wymagane cele wewnętrzne są osiągalne.
Kontrola po instalacji
Co najmniej te punkty powinny zostać sprawdzone z użytkownikiem testowym:
- Sophos Connect pokazuje połączenie jako zestawione.
- Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN.
- Wewnętrzne nazwy DNS są poprawnie rozwiązywane.
- Wymagane serwery i aplikacje są osiągalne.
- Zachowanie Internetu odpowiada projektowi: Split Tunnel albo Full Tunnel.
- W Log Viewer widoczna jest oczekiwana reguła firewall dla ruchu ze strefy
VPN. - MFA jest wymagane zgodnie z planem.
- Świadomie niedozwolony cel pozostaje zablokowany.
- Zerwanie połączenia i ponowne logowanie działają.
Jeżeli połączenie jest zestawione, ale dostęp nie działa, przyczyna często nie leży po stronie klienta, lecz w regułach firewall, DNS, routingu albo NAT. Do analizy pasuje Testowanie reguły firewall z Log Viewer, Policy Test i Packet Capture.
Szybka kontrola po stronie Windows
Na kliencie Windows proste testy pomagają przed zmianą konfiguracji firewalla:
ipconfig /all
route print
nslookup intranet.example.local
ping 10.10.10.10
Nie chodzi przy tym o dopuszczenie każdego pinga. Decydujące jest, czy klient otrzymał adres SSL VPN, czy istnieje trasa do wewnętrznej sieci docelowej i czy DNS rozwiązuje przez oczekiwany serwer. Jeśli dostęp działa po adresie IP, ale nie po nazwie, bardziej prawdopodobny jest DNS niż reguła firewalla.
Eksploatacja i bezpieczeństwo
SSL VPN jest publicznie osiągalną usługą Remote Access. Dlatego należy dokumentować nie tylko instalację, lecz także eksploatację:
- regularnie aktualizować Sophos Connect;
- aktywować i testować MFA dla Remote Access;
- regularnie sprawdzać grupy VPN;
- ograniczać dostęp do portalu przez Device Access i Local Service ACL, o ile to możliwe;
- utrzymywać wąskie reguły firewall dla strefy
VPNi logować je; - usuwać stare pliki
.ovpni przestarzałe profile; - przy dłuższym przechowywaniu logów zaplanować Syslog albo centralną analizę.
Do podstaw MFA pasuje Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access. W przypadku plików logów i service logs pomocny jest Sophos Firewall Troubleshooting: Services i Logs.
Troubleshooting
Logowanie do VPN Portal nie działa
Sprawdź użytkownika, hasło, MFA, członkostwo w grupach i serwer uwierzytelniania. Jeżeli uczestniczy AD, RADIUS albo Microsoft Entra ID SSO, uwierzytelnianie należy przetestować oddzielnie od VPN.
Użytkownik nie widzi konfiguracji SSL VPN w VPN Portal
Jeśli logowanie działa, ale nie widać pliku .ovpn ani pobierania SSL VPN, nie należy szukać przyczyny na kliencie Windows. Najpierw trzeba sprawdzić SSL-VPN-Policy, Policy members, członkostwo w grupach, dostęp do portalu i limit User-ID. Procedurę po stronie firewalla opisuje Konfiguracja Sophos Firewall SSL VPN Remote Access.
Nie można zaimportować pliku .ovpn
Najpierw sprawdź, czy plik rzeczywiście należy do aktualnej konfiguracji firewalla i czy Sophos Connect jest wystarczająco aktualny. Przy znakach specjalnych w certyfikatach albo danych użytkownika należy używać aktualnego klienta.
Jeżeli pobieranie pliku .ovpn w samym VPN Portal kończy się błędem mimo poprawnego logowania i uprawnień, należy dodatkowo sprawdzić limit Sophos Firewall User-ID.
Połączenie jest zestawione, ale systemy wewnętrzne są nieosiągalne
Sprawdź DNS, reguły firewall, routing, NAT i drogę powrotną. W Log Viewer powinien być widoczny ruch ze strefy VPN. Jeżeli logi się nie pojawiają, ruch prawdopodobnie nie trafia w oczekiwaną regułę albo logowanie jest wyłączone.
Jeżeli małe dostępy działają, ale większe transfery plików albo określone aplikacje się zawieszają, należy dodatkowo sprawdzić MTU/MSS: Sprawdzanie MTU i MSS na Sophos Firewall przy problemach VPN.
Sophos Connect zgłasza Policy mismatch albo Compression mismatch
Takie komunikaty często wskazują, że konfiguracja firewalla została zmieniona, ale klient nadal używa starego profilu SSL VPN. W takim przypadku należy pobrać aktualny plik .ovpn z VPN Portal albo rozdystrybuować go administracyjnie i następnie zaimportować ponownie.
Po zmianie profilu Sophos Connect nadal łączy się ze starym celem
Często nadal istnieje stary wpis połączenia albo użytkownicy wybierają w kliencie niewłaściwą nazwę profilu. Należy usunąć stare profile, ponownie zaimportować aktualny .ovpn i wybrać nazwę profilu tak, aby lokalizacja, środowisko albo cel były jednoznacznie rozpoznawalne.
Połączenie zrywa się w obcych sieciach
SSL VPN jest często bardziej tolerancyjny niż IPsec, ale nie jest odporny na restrykcyjne sieci, Captive Portals, wymuszone proxy ani niestabilne WLAN. W takich przypadkach należy przetestować drugą sieć i sprawdzić, czy Split Tunnel, port, protokół albo ZTNA pasują lepiej.
Zbieranie danych supportowych
Jeżeli błąd nie jest od razu widoczny, Sophos Connect może wygenerować techniczny raport supportowy. Zawiera on zdarzenia połączeń, konfiguracje VPN i informacje o punkcie końcowym. Przed przekazaniem należy sprawdzić dane wrażliwe, takie jak nazwy użytkowników, wewnętrzne nazwy hostów, adresy IP i FQDN gateway.
Po stronie firewalla równolegle pomagają Log Viewer, sslvpn.log, openvpn-status*.log i odpowiednia reguła firewall. Przypisanie plików logów opisuje Sophos Firewall Troubleshooting: Services i Logs.