Przejdz do tresci
Avanet

Skonfiguruj Sophos SSL VPN za pomocą Sophos Connect na macOS

SSL VPN na macOS często był konfigurowany z Tunnelblick lub innymi klientami OpenVPN. Jest to nadal możliwe, ale nie jest już jedyną oczywistą opcją: od Sophos Connect 2.0 Sophos obsługuje również Remote Access SSL VPN na macOS.

W artykule opisano obecną standardową ścieżkę z Sophos Connect na macOS i sklasyfikowano Tunnelblick jako alternatywę. Przy podejmowaniu decyzji pomiędzy Sophos Connect, SSL VPN, IPsec, klientami mobilnymi a ZTNA, na pierwszym miejscu jest Sophos Connect i SSL VPN: rozwiązanie ostateczne dostępu jest właściwe?.

Który artykuł VPN na macOS pasuje?

Te instrukcje dotyczą Sophos Firewall z SFOS i SSL VPN na macOS. W zależności od zadania odpowiednie jest inne podejście:

Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio obsługiwane przez Sophos Connect dla IPsec i SSL VPN. Klienci lub funkcje systemu operacyjnego kompatybilne z OpenVPN pozostają tam istotne.

Wymagania

  • Skonfigurowano zaporę sieciową Sophos z konfiguracją zdalnego dostępu SSL VPN
  • Użytkownicy autoryzowani do SSL VPN
  • Dostęp do portalu VPN lub pliku .ovpn dostarczonego administracyjnie
  • Sophos Connect 2.0 lub nowszy
  • macOS Ventura 13 lub nowszy z Sophos Connect 2.0+
  • Mac z procesorem Intel lub Apple Silicon poprzez Rosetta 2
  • Skonfigurowano MFA/OTP, jeśli zdalny dostęp jest nim chroniony
  • Reguły zapory sieciowej dla ruchu ze strefy VPN.

Jeśli konfiguracja SSL VPN po stronie firewalla nie jest jeszcze wdrożona, należy najpierw zaimplementować Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN.

Przed aktualizacją SFOS 22 MR1 należy również sprawdzić, czy nadal istnieją stare konfiguracje IPsec dostępu zdalnego. Nie ma to bezpośredniego wpływu na SSL VPN, ale wiele środowisk ponownie ocenia obecnie dostęp zdalny. Proces odbywa się w Przeprowadzenie migracji starszego dostępu zdalnego IPsec przed SFOS 22 MR1.

Sophos Connect czy Tunnelblick?

W przypadku nowych wdrożeń systemu macOS należy najpierw sprawdzić Sophos Connect, ponieważ Sophos Connect jest własnym klientem Sophos i obsługuje SSL VPN w systemie macOS od wersji 2.0. Tunnelblick pozostaje alternatywą dla OpenVPN, ale nie powinien wyłonić się jako drugi nieplanowany standard.

  • Sophos Connect: zarządzane komputery Mac, ujednolicony proces wsparcia, aktualne środowisko SFOS. Wersja, wymagania macOS, Rosetta 2 w Apple Silicon i aktualny profil .ovpn.
  • Tunnelblick lub inny klient OpenVPN: istniejący proces OpenVPN, przypadki szczególne, celowe odejście od Sophos Connect. Jasno dokumentuj wersję OpenVPN, obsługę profilu, zachowanie DNS i odpowiedzialność za wsparcie.

Nazwa klienta jest mniej istotna niż operacja: powinno być jasne, który klient jest obsługiwany, jaka wersja jest dystrybuowana, skąd pochodzi profil i kiedy użytkownicy muszą zaimportować nowy profil.

1. Wdróż Sophos Connect dla systemu macOS

W zależności od środowiska, Sophos Connect można wdrożyć poprzez zaporę sieciową Sophos, portal VPN lub Strona pobierania Sophos. W środowiskach zarządzanych powinno być jasne, która wersja klienta jest wdrażana i czy Rosetta 2 jest dostępna na urządzeniach Apple Silicon. SSL VPN na macOS wymaga Sophos Connect 2.0 lub nowszego. Dlatego nie należy używać starszych instrukcji wewnętrznych ani pakietów instalacyjnych bez ich sprawdzenia.

Sophos Connect 2.0 MR1 zawiera kilka poprawek specyficznych dla systemu macOS, w tym ustawienia DNS dla połączeń SSL VPN i opcję zapisywania danych uwierzytelniających. Aby móc skorzystać z tej opcji, po aktualizacji należy ponownie zaimportować profil.

2. Uzyskaj konfigurację OVPN

Konfiguracja SSL VPN jest dostarczana w postaci pliku .ovpn. W zależności od modelu operacyjnego użytkownicy pobierają je z portalu VPN lub otrzymują je kontrolowane poprzez proces administracyjny.

Typowy proces w portalu VPN:

  1. Otwórz portal VPN zapory Sophos.
  2. Zaloguj się jako użytkownik VPN.
  3. Przejdź do obszaru VPN.
  4. Pobierz konfigurację SSL VPN dla profilu.
  5. Przechowuj plik .ovpn w bezpieczny sposób i używaj go wyłącznie dla upoważnionego użytkownika.

Jeżeli przeglądarka wyświetli ostrzeżenie o certyfikacie portalu, należy sprawdzić przyczynę. W środowiskach produkcyjnych ważny certyfikat portalu VPN jest czystszy niż trwały wyjątek przeglądarki. Dostęp do urządzenia i lista ACL usług lokalnych w zaporze Sophos nadaje się do utwardzania.

Po jakichkolwiek zmianach w bramie, porcie, certyfikacie, DNS, zakresie dzierżawy, uwierzytelnianiu lub polityce SSL VPN, profil należy ponownie pobrać i zaimportować. Sama aktualizacja klienta nie powoduje aktualizacji starego profilu .ovpn.

3. Zaimportuj połączenie do Sophos Connect

Otwórz Sophos Connect i zaimportuj plik .ovpn. Połączenie powinno wówczas pojawić się na liście połączeń. Jeśli masz wiele profili, ważne jest, aby mieć unikalną nazwę, aby użytkownicy i pomoc techniczna nie użyli przypadkowo niewłaściwego profilu.

Jeśli import nie zadziała, najpierw sprawdź wersję klienta, typ pliku i pochodzenie pliku konfiguracyjnego. SSL VPN na macOS wymaga Sophos Connect 2.0 lub nowszego.

4. Nawiąż połączenie VPN

Wybierz zaimportowane połączenie i kliknij Connect. Następnie zaloguj się jako użytkownik VPN. Jeśli aktywne jest MFA lub OTP, należy potwierdzić drugi czynnik zgodnie z konfiguracją zapory.

Po nawiązaniu połączenia należy sprawdzić nie tylko status w kliencie. Istotne jest to, czy możliwe będzie osiągnięcie wymaganych celów wewnętrznych.

Sprawdź po instalacji

Przynajmniej te punkty należy sprawdzić z użytkownikiem testowym:

  • Sophos Connect pokazuje połączenie jako połączone.
  • Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN. — Wewnętrzne nazwy DNS są rozpoznawane poprawnie.
  • Wymagane serwery i aplikacje są dostępne.
  • Zachowanie w Internecie odpowiada projektowi: tunel dzielony lub tunel pełny.
  • Oczekiwana reguła zapory sieciowej dla ruchu ze strefy VPN jest widoczna w przeglądarce logów.
  • Zapytanie do MFA odbywa się zgodnie z planem.
  • Rozłączenie i ponowne zalogowanie działa.

Jeśli połączenie zostało nawiązane, ale dostęp nie działa, przyczyną często nie jest klient, ale raczej reguły zapory sieciowej, DNS, routing lub NAT. Przetestuj klucz zapory ogniowej za pomocą ustawień dzienników, testu zasad i przechwytywania pakietów nadaje się do analizy.

Test akceptacyjny na macOS

Po konfiguracji powinieneś udokumentować prawdziwy przypadek testowy, a nie tylko status zielonego klienta.

  • Sprawdź wersję Sophos Connect: Wersja klienta jest zgodna z wersją macOS i obsługą SSL VPN.
  • Przetestuj jabłkowy krzem: Dostępna jest Rosetta 2, a klient uruchamia się niezawodnie.
  • Sprawdź import profilu: Profil .ovpn pochodzi z bieżącej konfiguracji zapory.
  • Testuj MSZ: Logowanie z dobrym i złym czynnikiem zachowuje się zrozumiale.
  • Przetestuj DNS: Nazwy wewnętrzne są rozpoznawane poprawnie, a nie tylko adresy IP.
  • Dostęp testowy: Dozwolone cele działają, nieautoryzowane cele pozostają zablokowane.
  • Sprawdź przeglądarkę logów: Ruch ze strefy VPN trafia do oczekiwanej reguły zapory sieciowej.
  • Testuj ponowne połączenie: Rozłączanie i ponowne łączenie działa bez zmiany profili. Jeśli w firmie korzysta się z wielu wersji macOS, należy przetestować przynajmniej jeden Mac z procesorem Intel i jeden Mac z Apple Silicon. W przypadku klientów mieszanych należy również sprawdzić, czy Sophos Connect i Tunnelblick nie korzystają z różnych profili lub wyników DNS.

Alternatywa: Tunnelblick lub inny klient OpenVPN

Tunnelblick może być nadal przydatny, jeśli Sophos Connect nie będzie używany lub jeśli istniejący proces OpenVPN zostanie celowo zachowany. Należy jednak udokumentować ten wariant jako odrębny standard działania, aby Sophos Connect, Tunnelblick i stare profile nie były w obiegu jednocześnie.

Za pomocą Tunnelblick importowany jest plik .ovpn. Następnie należy sprawdzić wersję OpenVPN, profil, login użytkownika i zachowanie DNS. Nie należy przyjmować starych ogólnych specyfikacji konkretnej wersji OpenVPN bez sprawdzenia; Decydującymi czynnikami są aktualnie używana wersja firewalla, wersja klienta i konkretny profil.

Operacje i bezpieczeństwo

SSL VPN to publicznie dostępna usługa zdalnego dostępu. Dlatego należy dokumentować nie tylko instalację, ale także działanie:

  • Regularnie aktualizuj klienta Sophos Connect lub OpenVPN.
  • Aktywuj i przetestuj MFA dla zdalnego dostępu.
  • Regularnie sprawdzaj grupy VPN.
  • Jeśli to możliwe, ogranicz dostęp do portalu poprzez dostęp do urządzenia i listę ACL usług lokalnych.
  • Zachowaj ścisłe reguły zapory sieciowej dla strefy VPN i rejestruj.
  • Usuń stare pliki .ovpn i nieaktualne profile.
  • Jeśli logi są przechowywane przez dłuższy okres czasu, zaplanuj syslog lub ocenę centralną.

Do podstaw MFA pasuje Włącz usługę MFA dla modułu Sophos Firewall WebAdmin, portal VPN i dostęp zdalny. W przypadku plików dziennika i dzienników usług pomocne jest rozwiązanie Rozwiązywanie problemów z zaporą Sophos: usługi i dzienniki.

Lista kontrolna wdrażania systemu macOS

  • Zdefiniowano obsługiwany klient domyślny: Sophos Connect lub celowo klient OpenVPN.
  • Wersja Sophos Connect jest odpowiednia dla systemu macOS Ventura 13 lub nowszego.
  • Urządzenia Apple Silicon obejmują wersję Rosetta 2.
  • Profil .ovpn pochodzi z bieżącej konfiguracji SSL VPN.
  • Portal VPN korzysta z ważnego certyfikatu.
  • Użytkownik jest objęty odpowiednią polityką SSL VPN.
  • Zachowanie MFA jest dokumentowane i testowane z użytkownikiem testowym.
  • DNS, domena wyszukiwania i wewnętrzne systemy docelowe zostały przetestowane na macOS.
  • Reguły zapory sieciowej dla ruchu testowego dziennika strefy VPN.
  • Po zmianie profilu wiadomo, kto będzie informował użytkowników o nowym imporcie.

Rozwiązywanie problemów

Sophos Connect nie importuje pliku OVPN

W pierwszej kolejności należy sprawdzić, czy zainstalowany jest Sophos Connect 2.0 lub nowszy i czy plik rzeczywiście pochodzi z aktualnej konfiguracji SSL VPN. Następnie załaduj ponownie plik z portalu VPN lub wdróż go ponownie administracyjnie.

Nazwy wewnętrzne nie są rozpoznawane

Sprawdź serwery DNS, domeny wyszukiwania i konfigurację SSL VPN na zaporze. W przypadku Sophos Connect na macOS należy również sprawdzić status klienta, ponieważ Sophos naprawił problem DNS z połączeniami SSL VPN na macOS w wersji 2.0 MR1.

Jeśli adresy IP działają, ale nazwy nie, jest to problem z DNS lub domeną wyszukiwania. Jeśli adresy IP również nie działają, bardziej prawdopodobne jest routing, reguły zapory sieciowej lub ścieżka zwrotna.

Połączenie zostało nawiązane, ale nie można uzyskać dostępu do systemów wewnętrznych

Sprawdź reguły zapory sieciowej, routing, NAT i ścieżkę zwrotną. W przeglądarce logów powinien być widoczny ruch ze strefy VPN. Jeśli nie pojawią się żadne dzienniki, prawdopodobnie ruch nie osiąga oczekiwanej reguły lub rejestrowanie jest wyłączone.

Jeśli małe dostępy działają, ale większe transfery plików lub niektóre aplikacje się zawieszają, należy również sprawdzić MTU/MSS: Sprawdź Sophos Firewall MTU i MSS pod kątem problemów z VPN.

Połączenie nie działa już po zmianie profilu

Po zmianach w bramie, certyfikacie, porcie, DNS, zakresie dzierżawy lub uwierzytelnieniu należy ponownie zaimportować profil .ovpn. Jeśli tylko klient został zaktualizowany, ale stary profil pozostaje w użyciu, nadal można używać starych miejsc docelowych, portów lub wartości DNS.

Dane dostępowe zapisu nie są widoczneSophos ponownie włączył opcję zapisywania danych uwierzytelniających w Sophos Connect 2.0 MR1 dla systemu macOS. Po aktualizacji należy ponownie zaimportować konfigurację, aby móc skorzystać z opcji. W środowiskach z MFA warto jeszcze sprawdzić, czy przechowywanie danych dostępowych jest zgodne z koncepcją bezpieczeństwa.

Zerwane połączenie w sieciach zagranicznych

SSL VPN jest często bardziej tolerancyjny niż IPsec, ale nie jest odporny na restrykcyjne sieci, portale przechwytujące, przymus proxy lub niestabilne sieci WLAN. W takich przypadkach przetestuj z drugą siecią i sprawdź, czy lepszy będzie dzielony tunel, port, protokół lub ZTNA.

Zbierz dane pomocy technicznej

Jeżeli błąd nie jest od razu widoczny, należy udokumentować logi klienta, czas, użytkownika, sieć źródłową i system docelowy. Po stronie zapory, przeglądarka logów, sslvpn.log, openvpn-status*.log i odpowiednia reguła zapory pomagają równolegle. Przypisanie plików dziennika znajduje się w Rozwiązywanie problemów z zaporą Sophos: usługi i dzienniki.

Często zadawane pytania

Czy Sophos Connect obsługuje SSL VPN na macOS?

Tak. Od wersji Sophos Connect 2.0 klient Sophos Connect na macOS może korzystać z dostępu zdalnego SSL VPN.

Czy Sophos Connect działa na Apple Silicon?

Tak, Sophos Connect 2.0 i nowsze wersje obsługują komputery Mac z Apple Silicon poprzez Rosetta 2. Dlatego w środowiskach zarządzanych należy uwzględnić Rosetta 2 podczas wdrażania.

Czy nadal trzeba używać Tunnelblick?

Nie koniecznie. Tunnelblick pozostaje alternatywą OpenVPN, ale w wielu środowiskach Sophos Connect jest domyślnym klientem, który można łatwiej kontrolować.

Dlaczego DNS nie działa na macOS, mimo że nawiązane jest połączenie SSL VPN?

Często jest to spowodowane serwerami DNS, domeną wyszukiwania, nieaktualnym profilem lub wersją klienta. Sophos Connect 2.0 MR1 zawiera poprawkę ustawień DNS w SSL VPN na macOS. Następnie należy jeszcze osobno sprawdzić profil i reguły zapory sieciowej.

Czy Sophos Connect może być używany do SSL VPN na iOS lub Androidzie?

Nie. Sophos Connect nie obsługuje bezpośrednio platform mobilnych dla IPsec i SSL VPN. W zależności od protokołu, klienci kompatybilni z OpenVPN lub funkcje systemu operacyjnego są używane dla iOS i Androida.