Skonfiguruj Sophos SSL VPN za pomocą Sophos Connect na macOS
SSL VPN na macOS często był konfigurowany z Tunnelblick lub innymi klientami OpenVPN. Jest to nadal możliwe, ale nie jest już jedyną oczywistą opcją: od Sophos Connect 2.0 Sophos obsługuje również Remote Access SSL VPN na macOS.
W artykule opisano obecną standardową ścieżkę z Sophos Connect na macOS i sklasyfikowano Tunnelblick jako alternatywę. Przy podejmowaniu decyzji pomiędzy Sophos Connect, SSL VPN, IPsec, klientami mobilnymi a ZTNA, na pierwszym miejscu jest Sophos Connect i SSL VPN: rozwiązanie ostateczne dostępu jest właściwe?.
Który artykuł VPN na macOS pasuje?
Te instrukcje dotyczą Sophos Firewall z SFOS i SSL VPN na macOS. W zależności od zadania odpowiednie jest inne podejście:
- Zainstaluj Sophos Connect ogólnie na macOS: Zainstaluj klienta Sophos Connect na macOS.
- Skonfiguruj SSL VPN po stronie zapory: Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN.
- Skonfiguruj SSL VPN na macOS za pomocą Sophos Connect: Ten artykuł.
- Skonfiguruj SSL VPN w systemie Windows: Skonfiguruj Sophos SSL VPN za pomocą Sophos Connect w systemie Windows.
- Skonfiguruj SSL VPN na iPhonie, iPadzie lub Androidzie: iPhone’a/iPada lub Android.
- Utrzymuj wersje i profile klientów Sophos Connect: Sprawdź i bezpiecznie zaktualizuj wersję klienta Sophos Connect.
- VPN jest podłączony, ale ruch nie działa: Przetestuj klucz zapory ogniowej za pomocą ustawień dzienników, testu zasad i przechwytywania pakietów.
Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio obsługiwane przez Sophos Connect dla IPsec i SSL VPN. Klienci lub funkcje systemu operacyjnego kompatybilne z OpenVPN pozostają tam istotne.
Wymagania
- Skonfigurowano zaporę sieciową Sophos z konfiguracją zdalnego dostępu SSL VPN
- Użytkownicy autoryzowani do SSL VPN
- Dostęp do portalu VPN lub pliku
.ovpndostarczonego administracyjnie - Sophos Connect 2.0 lub nowszy
- macOS Ventura 13 lub nowszy z Sophos Connect 2.0+
- Mac z procesorem Intel lub Apple Silicon poprzez Rosetta 2
- Skonfigurowano MFA/OTP, jeśli zdalny dostęp jest nim chroniony
- Reguły zapory sieciowej dla ruchu ze strefy
VPN.
Jeśli konfiguracja SSL VPN po stronie firewalla nie jest jeszcze wdrożona, należy najpierw zaimplementować Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN.
Przed aktualizacją SFOS 22 MR1 należy również sprawdzić, czy nadal istnieją stare konfiguracje IPsec dostępu zdalnego. Nie ma to bezpośredniego wpływu na SSL VPN, ale wiele środowisk ponownie ocenia obecnie dostęp zdalny. Proces odbywa się w Przeprowadzenie migracji starszego dostępu zdalnego IPsec przed SFOS 22 MR1.
Sophos Connect czy Tunnelblick?
W przypadku nowych wdrożeń systemu macOS należy najpierw sprawdzić Sophos Connect, ponieważ Sophos Connect jest własnym klientem Sophos i obsługuje SSL VPN w systemie macOS od wersji 2.0. Tunnelblick pozostaje alternatywą dla OpenVPN, ale nie powinien wyłonić się jako drugi nieplanowany standard.
- Sophos Connect: zarządzane komputery Mac, ujednolicony proces wsparcia, aktualne środowisko SFOS. Wersja, wymagania macOS, Rosetta 2 w Apple Silicon i aktualny profil
.ovpn. - Tunnelblick lub inny klient OpenVPN: istniejący proces OpenVPN, przypadki szczególne, celowe odejście od Sophos Connect. Jasno dokumentuj wersję OpenVPN, obsługę profilu, zachowanie DNS i odpowiedzialność za wsparcie.
Nazwa klienta jest mniej istotna niż operacja: powinno być jasne, który klient jest obsługiwany, jaka wersja jest dystrybuowana, skąd pochodzi profil i kiedy użytkownicy muszą zaimportować nowy profil.
1. Wdróż Sophos Connect dla systemu macOS
W zależności od środowiska, Sophos Connect można wdrożyć poprzez zaporę sieciową Sophos, portal VPN lub Strona pobierania Sophos. W środowiskach zarządzanych powinno być jasne, która wersja klienta jest wdrażana i czy Rosetta 2 jest dostępna na urządzeniach Apple Silicon. SSL VPN na macOS wymaga Sophos Connect 2.0 lub nowszego. Dlatego nie należy używać starszych instrukcji wewnętrznych ani pakietów instalacyjnych bez ich sprawdzenia.
Sophos Connect 2.0 MR1 zawiera kilka poprawek specyficznych dla systemu macOS, w tym ustawienia DNS dla połączeń SSL VPN i opcję zapisywania danych uwierzytelniających. Aby móc skorzystać z tej opcji, po aktualizacji należy ponownie zaimportować profil.
2. Uzyskaj konfigurację OVPN
Konfiguracja SSL VPN jest dostarczana w postaci pliku .ovpn. W zależności od modelu operacyjnego użytkownicy pobierają je z portalu VPN lub otrzymują je kontrolowane poprzez proces administracyjny.
Typowy proces w portalu VPN:
- Otwórz portal VPN zapory Sophos.
- Zaloguj się jako użytkownik VPN.
- Przejdź do obszaru
VPN. - Pobierz konfigurację SSL VPN dla profilu.
- Przechowuj plik
.ovpnw bezpieczny sposób i używaj go wyłącznie dla upoważnionego użytkownika.
Jeżeli przeglądarka wyświetli ostrzeżenie o certyfikacie portalu, należy sprawdzić przyczynę. W środowiskach produkcyjnych ważny certyfikat portalu VPN jest czystszy niż trwały wyjątek przeglądarki. Dostęp do urządzenia i lista ACL usług lokalnych w zaporze Sophos nadaje się do utwardzania.
Po jakichkolwiek zmianach w bramie, porcie, certyfikacie, DNS, zakresie dzierżawy, uwierzytelnianiu lub polityce SSL VPN, profil należy ponownie pobrać i zaimportować. Sama aktualizacja klienta nie powoduje aktualizacji starego profilu .ovpn.
3. Zaimportuj połączenie do Sophos Connect
Otwórz Sophos Connect i zaimportuj plik .ovpn. Połączenie powinno wówczas pojawić się na liście połączeń. Jeśli masz wiele profili, ważne jest, aby mieć unikalną nazwę, aby użytkownicy i pomoc techniczna nie użyli przypadkowo niewłaściwego profilu.
Jeśli import nie zadziała, najpierw sprawdź wersję klienta, typ pliku i pochodzenie pliku konfiguracyjnego. SSL VPN na macOS wymaga Sophos Connect 2.0 lub nowszego.
4. Nawiąż połączenie VPN
Wybierz zaimportowane połączenie i kliknij Connect. Następnie zaloguj się jako użytkownik VPN. Jeśli aktywne jest MFA lub OTP, należy potwierdzić drugi czynnik zgodnie z konfiguracją zapory.
Po nawiązaniu połączenia należy sprawdzić nie tylko status w kliencie. Istotne jest to, czy możliwe będzie osiągnięcie wymaganych celów wewnętrznych.
Sprawdź po instalacji
Przynajmniej te punkty należy sprawdzić z użytkownikiem testowym:
- Sophos Connect pokazuje połączenie jako połączone.
- Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN. — Wewnętrzne nazwy DNS są rozpoznawane poprawnie.
- Wymagane serwery i aplikacje są dostępne.
- Zachowanie w Internecie odpowiada projektowi: tunel dzielony lub tunel pełny.
- Oczekiwana reguła zapory sieciowej dla ruchu ze strefy
VPNjest widoczna w przeglądarce logów. - Zapytanie do MFA odbywa się zgodnie z planem.
- Rozłączenie i ponowne zalogowanie działa.
Jeśli połączenie zostało nawiązane, ale dostęp nie działa, przyczyną często nie jest klient, ale raczej reguły zapory sieciowej, DNS, routing lub NAT. Przetestuj klucz zapory ogniowej za pomocą ustawień dzienników, testu zasad i przechwytywania pakietów nadaje się do analizy.
Test akceptacyjny na macOS
Po konfiguracji powinieneś udokumentować prawdziwy przypadek testowy, a nie tylko status zielonego klienta.
- Sprawdź wersję Sophos Connect: Wersja klienta jest zgodna z wersją macOS i obsługą SSL VPN.
- Przetestuj jabłkowy krzem: Dostępna jest Rosetta 2, a klient uruchamia się niezawodnie.
- Sprawdź import profilu: Profil
.ovpnpochodzi z bieżącej konfiguracji zapory. - Testuj MSZ: Logowanie z dobrym i złym czynnikiem zachowuje się zrozumiale.
- Przetestuj DNS: Nazwy wewnętrzne są rozpoznawane poprawnie, a nie tylko adresy IP.
- Dostęp testowy: Dozwolone cele działają, nieautoryzowane cele pozostają zablokowane.
- Sprawdź przeglądarkę logów: Ruch ze strefy
VPNtrafia do oczekiwanej reguły zapory sieciowej. - Testuj ponowne połączenie: Rozłączanie i ponowne łączenie działa bez zmiany profili. Jeśli w firmie korzysta się z wielu wersji macOS, należy przetestować przynajmniej jeden Mac z procesorem Intel i jeden Mac z Apple Silicon. W przypadku klientów mieszanych należy również sprawdzić, czy Sophos Connect i Tunnelblick nie korzystają z różnych profili lub wyników DNS.
Alternatywa: Tunnelblick lub inny klient OpenVPN
Tunnelblick może być nadal przydatny, jeśli Sophos Connect nie będzie używany lub jeśli istniejący proces OpenVPN zostanie celowo zachowany. Należy jednak udokumentować ten wariant jako odrębny standard działania, aby Sophos Connect, Tunnelblick i stare profile nie były w obiegu jednocześnie.
Za pomocą Tunnelblick importowany jest plik .ovpn. Następnie należy sprawdzić wersję OpenVPN, profil, login użytkownika i zachowanie DNS. Nie należy przyjmować starych ogólnych specyfikacji konkretnej wersji OpenVPN bez sprawdzenia; Decydującymi czynnikami są aktualnie używana wersja firewalla, wersja klienta i konkretny profil.
Operacje i bezpieczeństwo
SSL VPN to publicznie dostępna usługa zdalnego dostępu. Dlatego należy dokumentować nie tylko instalację, ale także działanie:
- Regularnie aktualizuj klienta Sophos Connect lub OpenVPN.
- Aktywuj i przetestuj MFA dla zdalnego dostępu.
- Regularnie sprawdzaj grupy VPN.
- Jeśli to możliwe, ogranicz dostęp do portalu poprzez dostęp do urządzenia i listę ACL usług lokalnych.
- Zachowaj ścisłe reguły zapory sieciowej dla strefy
VPNi rejestruj. - Usuń stare pliki
.ovpni nieaktualne profile. - Jeśli logi są przechowywane przez dłuższy okres czasu, zaplanuj syslog lub ocenę centralną.
Do podstaw MFA pasuje Włącz usługę MFA dla modułu Sophos Firewall WebAdmin, portal VPN i dostęp zdalny. W przypadku plików dziennika i dzienników usług pomocne jest rozwiązanie Rozwiązywanie problemów z zaporą Sophos: usługi i dzienniki.
Lista kontrolna wdrażania systemu macOS
- Zdefiniowano obsługiwany klient domyślny: Sophos Connect lub celowo klient OpenVPN.
- Wersja Sophos Connect jest odpowiednia dla systemu macOS Ventura 13 lub nowszego.
- Urządzenia Apple Silicon obejmują wersję Rosetta 2.
- Profil
.ovpnpochodzi z bieżącej konfiguracji SSL VPN. - Portal VPN korzysta z ważnego certyfikatu.
- Użytkownik jest objęty odpowiednią polityką SSL VPN.
- Zachowanie MFA jest dokumentowane i testowane z użytkownikiem testowym.
- DNS, domena wyszukiwania i wewnętrzne systemy docelowe zostały przetestowane na macOS.
- Reguły zapory sieciowej dla ruchu testowego dziennika strefy
VPN. - Po zmianie profilu wiadomo, kto będzie informował użytkowników o nowym imporcie.
Rozwiązywanie problemów
Sophos Connect nie importuje pliku OVPN
W pierwszej kolejności należy sprawdzić, czy zainstalowany jest Sophos Connect 2.0 lub nowszy i czy plik rzeczywiście pochodzi z aktualnej konfiguracji SSL VPN. Następnie załaduj ponownie plik z portalu VPN lub wdróż go ponownie administracyjnie.
Nazwy wewnętrzne nie są rozpoznawane
Sprawdź serwery DNS, domeny wyszukiwania i konfigurację SSL VPN na zaporze. W przypadku Sophos Connect na macOS należy również sprawdzić status klienta, ponieważ Sophos naprawił problem DNS z połączeniami SSL VPN na macOS w wersji 2.0 MR1.
Jeśli adresy IP działają, ale nazwy nie, jest to problem z DNS lub domeną wyszukiwania. Jeśli adresy IP również nie działają, bardziej prawdopodobne jest routing, reguły zapory sieciowej lub ścieżka zwrotna.
Połączenie zostało nawiązane, ale nie można uzyskać dostępu do systemów wewnętrznych
Sprawdź reguły zapory sieciowej, routing, NAT i ścieżkę zwrotną. W przeglądarce logów powinien być widoczny ruch ze strefy VPN. Jeśli nie pojawią się żadne dzienniki, prawdopodobnie ruch nie osiąga oczekiwanej reguły lub rejestrowanie jest wyłączone.
Jeśli małe dostępy działają, ale większe transfery plików lub niektóre aplikacje się zawieszają, należy również sprawdzić MTU/MSS: Sprawdź Sophos Firewall MTU i MSS pod kątem problemów z VPN.
Połączenie nie działa już po zmianie profilu
Po zmianach w bramie, certyfikacie, porcie, DNS, zakresie dzierżawy lub uwierzytelnieniu należy ponownie zaimportować profil .ovpn. Jeśli tylko klient został zaktualizowany, ale stary profil pozostaje w użyciu, nadal można używać starych miejsc docelowych, portów lub wartości DNS.
Dane dostępowe zapisu nie są widoczneSophos ponownie włączył opcję zapisywania danych uwierzytelniających w Sophos Connect 2.0 MR1 dla systemu macOS. Po aktualizacji należy ponownie zaimportować konfigurację, aby móc skorzystać z opcji. W środowiskach z MFA warto jeszcze sprawdzić, czy przechowywanie danych dostępowych jest zgodne z koncepcją bezpieczeństwa.
Zerwane połączenie w sieciach zagranicznych
SSL VPN jest często bardziej tolerancyjny niż IPsec, ale nie jest odporny na restrykcyjne sieci, portale przechwytujące, przymus proxy lub niestabilne sieci WLAN. W takich przypadkach przetestuj z drugą siecią i sprawdź, czy lepszy będzie dzielony tunel, port, protokół lub ZTNA.
Zbierz dane pomocy technicznej
Jeżeli błąd nie jest od razu widoczny, należy udokumentować logi klienta, czas, użytkownika, sieć źródłową i system docelowy. Po stronie zapory, przeglądarka logów, sslvpn.log, openvpn-status*.log i odpowiednia reguła zapory pomagają równolegle. Przypisanie plików dziennika znajduje się w Rozwiązywanie problemów z zaporą Sophos: usługi i dzienniki.