Konfiguracja Sophos SSL VPN na iPhonie i iPadzie
Sophos Connect nie obsługuje bezpośrednio iOS ani iPadOS dla IPsec lub SSL VPN. Jeżeli iPhone albo iPad ma zostać połączony z Sophos Firewall przez Remote Access, używa się klienta kompatybilnego z OpenVPN. W wielu środowiskach oczywistym standardem jest OpenVPN Connect.
Ten artykuł opisuje praktyczny przebieg konfiguracji Sophos SSL VPN na iPhonie i iPadzie: instalację aplikacji, pobranie konfiguracji .ovpn, import profilu, test połączenia i zawężanie typowych błędów. Przy podstawowym wyborze między Sophos Connect, SSL VPN, IPsec, klientami mobilnymi i ZTNA warto najpierw przeczytać Sophos Connect czy SSL VPN: które rozwiązanie Remote Access pasuje?.
Kiedy SSL VPN na iOS ma sens
SSL VPN na iPhonie albo iPadzie ma sens, gdy użytkownicy mobilni muszą okazjonalnie uzyskać dostęp do systemów wewnętrznych i wystarcza do tego klasyczny profil VPN.
Typowe przykłady:
- dostęp do wewnętrznych aplikacji webowych
- dostęp administracyjny do kilku systemów z iPada
- dostęp do usług plikowych albo wewnętrznych narzędzi przez zdefiniowane aplikacje
- tymczasowa praca zewnętrzna bez zarządzanego klienta na notebooku
- rozwiązanie przejściowe, gdy ZTNA albo App-Proxy nie są jeszcze dostępne
Przy trwałym dostępie do wielu systemów wewnętrznych urządzenie mobilne często nie jest najlepszą platformą docelową. Wtedy należy sprawdzić, czy lepiej pasuje zarządzany klient Windows albo macOS z Sophos Connect, węższy dostęp ZTNA albo inny projekt Remote Access.
Klasyfikacja względem innych klientów
Ta instrukcja dotyczy Sophos Firewall z SFOS i mobilnych urządzeń Apple. W zależności od platformy lub sytuacji początkowej właściwy może być inny punkt wejścia:
- Konfiguracja SSL VPN na iPhonie i iPadzie: Ten artykuł.
- Konfiguracja SSL VPN z Sophos Connect w Windows: Konfiguracja Sophos SSL VPN z Sophos Connect w Windows.
- Konfiguracja SSL VPN z Sophos Connect na macOS: Konfiguracja Sophos SSL VPN z Sophos Connect na macOS.
- Konfiguracja SSL VPN na Androidzie: Konfiguracja Sophos SSL VPN na Androidzie.
- Instalacja Sophos Connect w Windows: Instalacja Sophos Connect Client w Windows.
- Instalacja Sophos Connect na macOS: Instalacja Sophos Connect Client na macOS.
Ważne jest rozgraniczenie: Sophos Connect nie jest bezpośrednim klientem SSL VPN dla iOS i iPadOS. Jeżeli urządzenia mobilne mają być wspierane, wewnętrznie powinno być jasno zdefiniowane, który klient kompatybilny z OpenVPN jest używany, skąd pochodzą profile i kto wspiera użytkowników przy zmianie urządzenia.
Wymagania
Przed konfiguracją należy wyjaśnić te punkty:
- Sophos Firewall ze skonfigurowanym SSL-VPN-Remote-Access
- użytkownik z uprawnieniem do SSL VPN
- dostęp do VPN Portal albo administracyjnie dostarczony plik
.ovpn - klient kompatybilny z OpenVPN na iPhonie albo iPadzie
- skonfigurowane MFA/OTP, jeżeli Remote Access jest nim chroniony
- prawidłowy certyfikat dla VPN Portal i dostępu do firewalla, jeśli to możliwe
- reguły firewall dla ruchu ze strefy
VPN - ustalony projekt Split Tunnel albo Full Tunnel
- proces supportowy dla zmian urządzeń, utraconych urządzeń i starych profili
Przed aktualizacją do SFOS 22.0 MR1 albo nowszej należy dodatkowo sprawdzić, czy istnieją jeszcze stare konfiguracje Remote Access IPsec. SSL VPN nie jest tym bezpośrednio dotknięty, ale wiele środowisk właśnie wtedy ponownie ocenia Remote Access. Procedurę opisuje Migracja legacy Remote Access IPsec przed SFOS 22 MR1.
Przygotuj firewall i VPN Portal
Konfiguracja iOS jest tylko ostatnim krokiem. Wcześniej konfiguracja firewalla musi być poprawna.
Na Sophos Firewall należy sprawdzić te punkty:
- Otworzyć Remote access VPN.
- Skonfigurować SSL VPN dla wymaganych użytkowników albo grup.
- Użyć puli IP VPN bez nakładania się z LAN, WLAN, VLAN, Site-to-Site VPN albo typowymi sieciami domowymi.
- Ustawić odpowiednie serwery DNS i sufiksy domen, jeżeli używane są nazwy wewnętrzne.
- Aktywować MFA dla Remote Access i sprawdzić je użytkownikiem testowym.
- Utworzyć regułę firewall ze strefy
VPNdo wymaganej strefy docelowej. - Aktywować logowanie na czas wdrożenia.
- Udostępnić VPN Portal przez Administration > Device access tylko tak szeroko, jak to konieczne.
Pełna procedura po stronie firewalla znajduje się w Konfiguracji Sophos Firewall SSL VPN Remote Access.
VPN Portal jest publicznie osiągalnym punktem wejścia. Jeżeli musi być dostępny z Internetu, należy świadomie zaplanować certyfikat, MFA, ograniczenia krajów lub źródeł oraz kontrolę logów. Do utwardzenia pasuje Device Access i Local Service ACL na Sophos Firewall.
1. Zainstaluj OpenVPN Connect
Zainstaluj OpenVPN Connect z App Store: OpenVPN Connect.
Jeżeli w środowisku standaryzowany jest inny klient kompatybilny z OpenVPN, należy udokumentować tę decyzję. Problem pojawia się wtedy, gdy użytkownicy równolegle używają różnych aplikacji VPN, starych profili i różnych instrukcji.
Dla supportu i eksploatacji należy ustalić:
- który klient jest wspierany
- jaka minimalna wersja aplikacji jest oczekiwana
- czy użytkownicy mogą samodzielnie instalować aplikację
- jak profile są dystrybuowane i wycofywane
- jak obsługiwane są utracone albo wymienione urządzenia
2. Otwórz VPN Portal
Na iPhonie albo iPadzie otwórz VPN Portal Sophos Firewall w przeglądarce i zaloguj się użytkownikiem VPN. Safari jest zwykle najpewniejszą drogą do pobrania i przekazania pliku .ovpn do OpenVPN Connect.
Jeżeli VPN Portal otwiera się z nieprawidłowym albo niezaufanym certyfikatem, należy usunąć przyczynę. Trwały wyjątek w przeglądarce nie jest dobrym standardem operacyjnym dla produkcyjnego Remote Access.
Przy MFA należy sprawdzić przebieg z prawdziwym użytkownikiem testowym. Szczególnie ważne jest, czy drugi czynnik jest wymagany w osobnym polu, czy hasło i kod OTP muszą zostać wpisane w oczekiwanej formie. Podstawy opisuje Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access.
3. Pobierz konfigurację OVPN
W VPN Portal przejdź do obszaru SSL VPN albo VPN i pobierz konfigurację dla Android/iOS. W zależności od wersji SFOS i widoku portalu link nazywa się w przybliżeniu Download configuration for Android/iOS.
Pobrany plik ma zwykle rozszerzenie .ovpn. Ten plik jest przypisany do użytkownika i nie powinien być przekazywany innym użytkownikom.
Ważne:
- Plik powinien pochodzić z aktualnej konfiguracji firewalla.
- Nie należy ponownie używać starych plików z archiwów e-mail albo historii czatów.
- Po zmianach w SSL-VPN-Policy, certyfikacie, gateway, DNS albo grupie użytkowników profil powinien zostać pobrany ponownie.
- Gdy użytkownik opuszcza firmę albo urządzenie zostaje utracone, należy sprawdzić dostęp użytkownika, członkostwo w grupach i dystrybucję profilu.
4. Zaimportuj profil w OpenVPN Connect
Jeżeli iOS nie proponuje automatycznie importu, plik .ovpn można przekazać do OpenVPN Connect przez funkcję udostępniania. OpenVPN Connect pokaże następnie nowy profil i przy pierwszej konfiguracji zapyta o zgodę na utworzenie konfiguracji VPN.
To potwierdzenie iOS jest konieczne, aby aplikacja mogła utworzyć połączenie VPN. Jeżeli potwierdzenie zostanie odrzucone, profil może wprawdzie pojawić się w aplikacji, ale połączenie nie będzie mogło zostać poprawnie zestawione.
Przy kilku profilach nazwa powinna być jednoznaczna, na przykład z lokalizacją, środowiskiem albo nazwą firmy. Kilka niemal identycznie nazwanych profili to częsty powód zgłoszeń supportowych.
5. Zestaw połączenie VPN
Aktywuj zaimportowany profil i zaloguj się użytkownikiem VPN. Jeżeli MFA albo OTP jest aktywne, drugi czynnik musi zostać potwierdzony zgodnie z konfiguracją firewalla.
Po udanym zestawieniu nie wystarczy, że aplikacja OpenVPN pokazuje stan połączony. Decydujące jest to, czy planowane cele wewnętrzne są osiągalne i czy ruch na firewallu trafia w właściwą regułę.
Kontrola po konfiguracji
Co najmniej te punkty powinny zostać sprawdzone z użytkownikiem testowym:
- OpenVPN Connect pokazuje połączenie jako zestawione.
- iOS pokazuje symbol VPN albo status VPN.
- Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN.
- Wewnętrzne nazwy DNS są poprawnie rozwiązywane.
- Wymagane serwery, aplikacje webowe albo usługi są osiągalne.
- Zachowanie Internetu odpowiada projektowi: Split Tunnel albo Full Tunnel.
- W Log Viewer widoczna jest oczekiwana reguła firewall dla ruchu ze strefy
VPN. - MFA jest wymagane zgodnie z planem.
- Połączenie po trybie samolotowym, zmianie WLAN albo zmianie sieci komórkowej zostało ponownie przetestowane.
- Stare profile zostały usunięte albo wyraźnie oznaczone jako przestarzałe.
Jeżeli połączenie jest zestawione, ale dostęp nie działa, przyczyna często nie leży po stronie klienta mobilnego, lecz w regułach firewall, DNS, routingu albo NAT. Do analizy pasuje Testowanie reguły firewall z Log Viewer, Policy Test i Packet Capture.
Dystrybucja ręczna czy MDM?
Przy kilku iPhone’ach albo iPadach ręczny import przez VPN Portal, Safari i OpenVPN Connect może wystarczyć. Gdy w grę wchodzi kilku użytkowników, wiele urządzeń albo regularne zmiany urządzeń, dystrybucję profili należy jednak zaplanować świadomie. W przeciwnym razie stare pliki .ovpn pozostają w e-mailach, czatach albo prywatnych folderach pobierania i po miesiącach wracają w zgłoszeniach supportowych.
- Import ręczny: mało urządzeń, grupa pilotażowa, okazjonalne użycie. jasna instrukcja, aktualny profil, test MFA i usunięcie starych profili.
- Dystrybucja przez MDM albo Endpoint-Management: zarządzane urządzenia, wielu użytkowników, powtarzające się zmiany. wersja profilu, instalacja aplikacji, utrata urządzenia, wycofanie starych profili i proces supportowy.
Ważne jest wycofywanie. Gdy urządzenie zostaje wymienione, użytkownik odchodzi albo zmienia się SSL-VPN-Policy, nie wystarczy rozdystrybuować nowego profilu. Stare profile, członkostwa w grupach i ewentualnie zapisane dane logowania również muszą zostać sprawdzone.
Eksploatacja i bezpieczeństwo
Mobilne profile VPN potrzebują jasnych zasad operacyjnych. iPhone’y i iPady często przełączają się między WLAN, siecią komórkową, hotspotami i Captive Portals. Dodatkowo urządzenia mobilne łatwiej się gubią albo szybciej są wymieniane niż klasyczne notebooki firmowe.
Dobra praktyka:
- regularnie aktualizować OpenVPN Connect;
- aktywować i testować MFA dla Remote Access;
- regularnie sprawdzać grupy VPN;
- ograniczać VPN Portal przez Device Access i Local Service ACL, o ile to możliwe;
- utrzymywać wąskie reguły firewall dla strefy
VPNi logować je; - usuwać stare pliki
.ovpni przestarzałe profile; - uwzględniać zmiany urządzeń i utracone urządzenia w procesie supportowym;
- przy dłuższym przechowywaniu logów zaplanować Syslog albo centralną analizę.
W przypadku plików logów i service logs pomocny jest Sophos Firewall Troubleshooting: Services i Logs.
Typowe błędy
Nie można otworzyć pliku OVPN
Najpierw sprawdź, czy OpenVPN Connect jest zainstalowany i czy plik rzeczywiście ma postać .ovpn. Następnie pobierz plik ponownie z VPN Portal albo przekaż go do OpenVPN Connect przez funkcję udostępniania.
Jeżeli plik jest dystrybuowany przez MDM, e-mail albo udostępnianie plików, należy sprawdzić, czy po drodze nie został zmieniony, przemianowany albo zablokowany.
Import działa, ale połączenie nie
Często iOS nie otrzymał wtedy poprawnie uprawnienia do konfiguracji VPN albo profil nie pasuje do aktualnej konfiguracji firewalla. Usuń profil, pobierz aktualny plik .ovpn i zaimportuj go ponownie.
Logowanie nie powiodło się
Sprawdź użytkownika, hasło, MFA, członkostwo w grupach i serwer uwierzytelniania. Jeżeli uczestniczy AD, RADIUS albo Microsoft Entra ID SSO, uwierzytelnianie należy przetestować oddzielnie od VPN. Problem logowania nie jest automatycznie problemem OpenVPN.
Połączenie jest zestawione, ale systemy wewnętrzne są nieosiągalne
Sprawdź DNS, reguły firewall, routing, NAT i drogę powrotną. W Log Viewer powinien być widoczny ruch ze strefy VPN. Jeżeli logi się nie pojawiają, ruch prawdopodobnie nie trafia w oczekiwaną regułę albo logowanie jest wyłączone.
Przy pojedynczych systemach wewnętrznych często uszkodzony nie jest sam VPN, lecz brakuje reguły firewall, nazwa DNS jest błędna albo brakuje trasy powrotnej w sieci docelowej.
Jeżeli małe dostępy działają, ale większe transfery plików albo określone aplikacje się zawieszają, należy dodatkowo sprawdzić MTU/MSS: Sprawdzanie MTU i MSS na Sophos Firewall przy problemach VPN.
Nazwy wewnętrzne nie są rozwiązywane
Sprawdź serwer DNS i domenę wyszukiwania w konfiguracji SSL VPN. Następnie przetestuj, czy systemy wewnętrzne są osiągalne po adresie IP. Jeżeli IP działa, ale nazwa nie, przyczyna prawdopodobnie leży w DNS, a nie w samym połączeniu VPN.
Połączenie zrywa się przy zmianie sieci
Na urządzeniach mobilnych typowymi przyczynami są zmiana WLAN, zmiana sieci komórkowej, Captive Portals i mechanizmy oszczędzania energii. Przetestuj drugą sieć i sprawdź, czy zachowanie jest powtarzalne.
Jeżeli użytkownicy często przełączają się między sieciami, należy sprawdzić, czy aplikacja radzi sobie z krótkimi przerwami VPN albo czy inny model dostępu pasuje lepiej.
Checklista
Przed rolloutem
- Zdefiniowano wspieranego klienta OpenVPN.
- Sprawdzono grupę użytkowników SSL VPN.
- Przetestowano MFA dla Remote Access.
- VPN Portal jest osiągalny z prawidłowym certyfikatem.
- Device Access i dostęp z Internetu zostały świadomie ograniczone.
- Reguły firewall dla strefy
VPNzostały utworzone i są logowane. - Udokumentowano Split Tunnel albo Full Tunnel.
- Wyjaśniono dystrybucję profili i proces zmiany urządzeń.
Po imporcie
- Profil jest widoczny w OpenVPN Connect.
- Potwierdzono uprawnienie iOS VPN.
- Zestawiono połączenie użytkownikiem testowym.
- Sprawdzono DNS, cele wewnętrzne i dopasowanie reguły firewall.
- Przetestowano WLAN, sieć komórkową i zmianę sieci.
- Usunięto stare profile.
W eksploatacji
- Utrzymywać aktualną aplikację OpenVPN i iOS.
- Regularnie sprawdzać grupy użytkowników.
- Usuwać stare profile przy odejściu użytkownika albo utracie urządzenia.
- W przypadkach supportowych wcześnie sprawdzać logi VPN.
- Przy powtarzających się problemach mobilnych sprawdzić ZTNA albo dostęp oparty na aplikacjach.
FAQ
Czy Sophos Connect obsługuje SSL VPN na iOS?
Czy trzeba używać OpenVPN Connect?
Czy MFA działa z SSL VPN na iOS?
Czy SSL VPN na iOS jest lepszy niż IPsec?
Dlaczego połączenie działa, ale żadna aplikacja wewnętrzna nie?
VPN trafia w oczekiwaną regułę.