Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest właściwe?
Sophos Firewall oferuje wiele ścieżek zdalnego dostępu. W starszych środowiskach często nadal można znaleźć klasycznego klienta SSL VPN lub stare profile IPsec. W obecnych wersjach SFOS Sophos Connect jest centralnym klientem dla wielu scenariuszy dostępu zdalnego, ale dopasowanie różni się w zależności od platformy, protokołu i modelu operacyjnego.
Ten przewodnik decyzyjny pokazuje, kiedy Sophos Connect z IPsec, Sophos Connect z SSL VPN, klient kompatybilny z OpenVPN lub ZTNA mają sens. W przypadku środowisk z SFOS 22.0 MR1 ważne jest również: Starszy protokół IPsec zdalnego dostępu nie może być już pozostawiony jako dziedzictwo. Migrację opisano w artykule Przeprowadzenie migracji starszego rozwiązania dostępu zdalnego IPsec przed SFOS 22 MR1.
Który artykuł dotyczący VPN pasuje?
Dostęp zdalny i VPN typu site-to-site są konfigurowane w różnych miejscach w zaporze Sophos. Pierwszą rzeczą, która jest ważna dla administratorów, jest to, czy dotyczy to dostępu użytkowników, sieci lokalizacji, działania klienta, tożsamości czy rozwiązywania problemów.
- Zaplanuj zdalny dostęp dla użytkowników: Ten artykuł.
- Skonfiguruj Sophos Connect na zaporze sieciowej: Skonfiguruj klienta Sophos Connect na zaporze youciowej Sophos.
- Skonfiguruj SSL VPN dla zdalnego dostępu: Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN.
- Skonfiguruj klienta SSL VPN w systemie Windows lub macOS: Okna lub macOS.
- Skonfiguruj SSL VPN na iPhonie, iPadzie lub Androidzie: iPhone’a i iPada lub Android.
- Zbuduj protokół IPsec typu lokacja-lokacja między lokacjami: Skonfiguruj zaporę sieciową Sophos typu site-to-site IPsec VPN.
- Tunel IPsec jest podłączony, ale ruch nie działa: Rozwiązywanie problemów z zaporą sieciową Sophos IPsec VPN.
- VPN jest podłączony, ale duże transfery zawieszają się: Sprawdź Sophos Firewall MTU i MSS pod kątem problemów z VPN.
- Użyj logowania jednokrotnego lub dostępu warunkowego Microsoft Entra ID: Skonfiguruj logowanie jednokrotne Microsoft Entra ID dla Sophos Connect i portal VPN.
- Usuń starszy protokół IPsec dostępu zdalnego przed SFOS 22 MR1: Przeprowadzenie migracji starszego dostępu zdalnego IPsec przed SFOS 22 MR1.
- Utrzymuj wersje i profile klientów Sophos Connect: Sprawdź i bezpiecznie zaktualizuj wersję klienta Sophos Connect. To oddzielenie zapobiega wielu błędnym decyzjom. Zielony status VPN nie oznacza, że dostęp działa, aktualizacja klienta nie zastępuje reguły zapory sieciowej, a problem z dostępem zdalnym nie jest automatycznie problemem protokołu IPsec.
Krótka pomoc w podjęciu decyzji
- Klienci Windows z centralną dystrybucją: Sophos Connect z IPsec lub SSL VPN.
- Klienci macOS od Sophos Connect 2.0: Sophos Connect z IPsec lub SSL VPN, w zależności od konfiguracji firewalla.
- Windows ARM: Sophos Connect od wersji 2.5.
- iOS, iPadOS, Android lub inne platformy mobilne: Zasoby wbudowane klienta lub systemu operacyjnego kompatybilne z OpenVPN, w zależności od protokołu.
- Sieci zagraniczne z zablokowanym IPsec: Sprawdź SSL VPN lub ZTNA.
- Dostęp tylko do poszczególnych aplikacji: Sprawdź ZTNA lub dostęp bezklientowy.
- Starszy dostęp zdalny IPsec przed SFOS 22 MR1: Przenieś i usuń. Tabela została celowo uproszczona. W praktyce decyduje nie tylko klient, ale także model uwierzytelniania, MFA, środowisko sieciowe użytkowników, wymagane cele wewnętrzne oraz sposób dystrybucji i aktualizacji profili.
Granice platformy i profilu
Przed podjęciem decyzji nie powinieneś po prostu pytać „IPsec lub SSL VPN”. Równie ważne jest, czy pożądana platforma obsługuje odpowiedni typ profilu i pożądaną dystrybucję.
- Windows 10/11 64-bitowy: Sophos Connect IPsec: tak; Sophos Connect SSL VPN: tak; Plik informacyjny: tak.
- Windows ARM: Sophos Connect IPsec: od Sophos Connect 2.5; Sophos Connect SSL VPN: od Sophos Connect 2.5; Plik informacyjny: od Sophos Connect 2.5.
- macOS Intel: Sophos Connect IPsec: tak; Sophos Connect SSL VPN: z Sophos Connect 2.0; Plik informacyjny: nie.
- macOS Apple Silikon: Sophos Connect IPsec: tak, przez Rosettę 2; Sophos Connect SSL VPN: z Sophos Connect 2.0, poprzez Rosetta 2; Plik informacyjny: nie.
- iOS, iPadOS, Android: Sophos Connect IPsec: nie w przypadku Sophos Connect; Sophos Connect SSL VPN: nie w przypadku Sophos Connect; Plik informacyjny: nie w przypadku Sophos Connect.W przypadku systemu macOS oznacza to w praktyce: Sophos Connect może teraz korzystać z protokołu SSL VPN, ale nie z taką samą logiką udostępniania jak w systemie Windows. Profile muszą być celowo importowane i ponownie udostępniane po odpowiednich zmianach. W przypadku platform mobilnych Sophos Connect nie pozostaje bezpośrednim klientem; W zależności od protokołu wymagane są aplikacje lub funkcje systemu operacyjnego kompatybilne z OpenVPN.
- Stare 32-bitowe klienty Windows: tylko starsze wersje Sophos Connect do 2.4 nadal obsługują 32-bitowy Windows. Aktualne wdrożenia należy planować z Windows 64-bit.
Sophos Connect z IPsec
Sophos Connect z IPsec jest często pierwszym wyborem, gdy potrzebne są klasyczne klienckie sieci VPN dla urządzeń z systemem Windows lub macOS. Protokół IPsec jest zwykle wysoce wydajny i dobrze nadaje się dla zarządzanych klientów firmowych, w których profile mogą być dystrybuowane w sposób kontrolowany.
Zalety:
- dobra wydajność w wielu środowiskach
- odpowiedni dla zarządzanych klientów Windows i macOS
- Możliwe centralne reguły firewalla poprzez strefę
VPN. - wyraźne oddzielenie dostępu zdalnego i VPN typu site-to-site
- przydatne, jeśli mimo to Sophos Connect jest używany jako standardowy klient
Limity:
- IPsec można blokować w hotelach, sieciach gościnnych, sieciach komórkowych lub ściśle filtrowanych sieciach innych firm.
- Profile i przypisania użytkowników muszą być odpowiednio utrzymywane.
- Po zmianach w pulach, DNS lub sieciach docelowych klienci muszą zostać ponownie przetestowani.
- Nie należy mylić starszej wersji protokołu IPsec dostępu zdalnego z bieżącą konfiguracją protokołu IPsec dostępu zdalnego.
Do skonfigurowania na zaporze sieciowej odpowiednim artykułem dotyczącym połączenia jest Skonfiguruj klienta Sophos Connect na zaporze sieciowej Sophos.
Sophos Połącz się z SSL VPN
Sophos Connect może także korzystać z połączeń SSL VPN. Od dawna jest to istotne w systemie Windows, a od wersji Sophos Connect 2.0 Sophos obsługuje także SSL VPN w systemie macOS. Jest to szczególnie ważne, ponieważ starsze instrukcje Avanet i Sophos Connect częściowo pochodzą z czasów, gdy macOS z Sophos Connect mógł obsługiwać tylko IPsec.
Zalety:
- często lepiej nadaje się do stosowania w restrykcyjnych sieciach innych firm niż IPsec
- Windows i macOS są obsługiwane w aktualnych wersjach Sophos Connect
- Technologia OpenVPN jest łatwa do zrozumienia w działaniu
- ma sens, jeśli istnieją już procesy SSL VPN
Limity:
- Wydajność i skalowanie zależą bardziej od urządzenia, protokołu, szyfrowania i obciążenia.
- Profile użytkowników i certyfikaty muszą być odpowiednio zarządzane.
- Nie należy używać starych klientów SSL VPN i starych wersji OpenVPN bez sprawdzenia.
- Urządzenia mobilne nadal zazwyczaj korzystają z innych klientów kompatybilnych z OpenVPN.
Konfiguracja po stronie zapory sieciowej znajduje się w Skonfiguruj dostęp zdalny Sophos Firewall SSL VPN. Dla systemu Windows dostępny jest przewodnik krok po kroku Konfigurowanie Sophos SSL VPN do korzystania z Sophos Connect w systemie Windows. W przypadku systemu macOS należy sprawdzić aktualną wersję Sophos Connect pod kątem nowych instalacji, ponieważ obsługa platformy uległa zmianie w 2026 r. Odpowiedni artykuł operacyjny w tym zakresie to Sprawdź i bezpieczne z aktualizacja wersji klienta Sophos Connect.
Klienci OpenVPN i platformy mobilne
Sophos Connect nie obsługuje bezpośrednio wszystkich platform. Platformy mobilne, takie jak iOS i Android, nie są bezpośrednio objęte Sophos Connect dla IPsec i SSL VPN. W takich przypadkach, w zależności od protokołu, wykorzystywane są zasoby pokładowe systemu operacyjnego lub klienci kompatybilni z OpenVPN.
Nie jest to wadą, jeśli proces jest jasno udokumentowany. Staje się to problematyczne tylko wtedy, gdy użytkownicy korzystają z różnych aplikacji, starych profili i niejasnych instrukcji. Należy zatem jasno zdefiniować następujące kwestie w odniesieniu do urządzeń mobilnych:
- jaki protokół jest używany
- która aplikacja jest obsługiwana
- skąd pochodzi plik konfiguracyjny
- jak działa MFA lub certyfikaty
- kto wspiera zmiany urządzenia
Szczegółowe instrukcje są dostępne dla Sophos SSL VPN dla Sophos Connect w systemie Windows, Sophos SSL VPN dla Sophos Connect na macOS, Sophos SSL VPN na iPhone’a i iPada oraz Sophos SSL VPN na Androida.
Dystrybucja i aktualizacje profili
Problemy ze zdalnym dostępem często wynikają nie z wybranego typu tunelu, ale ze starych profili. Jeśli brama, certyfikat, DNS, grupa użytkowników, pula adresów IP, portal lub plik udostępniania zostaną zmienione, należy aktywnie wyczyścić spis profili.
Praktyczne zasady:- Śledź wersje Sophos Connect centralnie.
- Nie rozpowszechniaj plików
.scx,.tgb,.ovpni.prorównolegle w sposób niekontrolowany. - Przy provisioningu
.proklient otrzymuje konfigurację automatycznie, ale właściwe bramy SSL VPN nadal pochodzą z zaimportowanej konfiguracji SSL VPN i mogą różnić się od adresu portalu. - W przypadku SSL VPN sprawdź, czy użytkownicy mogą pobierać nowe konfiguracje przez Update policy w User Portal, czy profil trzeba ponownie dystrybuować ręcznie.
- Świadomie rozróżniaj typy plików:
.scxjest zwykle używany dla profili Sophos Connect IPsec,.tgbdla profili IPsec wybranych klientów zewnętrznych lub mobilnych,.ovpndla konfiguracji SSL VPN, a.prodla provisioningu Windows. - Świadomie rozróżniaj typy plików:
.scxzwykle oznacza profile IPsec Sophos Connect,.tgbprofile IPsec dla wybranych klientów zewnętrznych lub mobilnych,.ovpnkonfiguracje SSL VPN, a.proprovisioning dla Windows. - Zachowaj unikalne nazwy profili, szczególnie w przypadku wielu lokalizacji.
- Zaplanuj nowy import po zmianach w SSL VPN lub IPsec.
- Przetestuj osobno klientów Windows, macOS i mobilnych.
- Usuń stare profile podczas opuszczania, zmiany urządzenia lub migracji.
Proces operacyjny aktualizacji klienta jest opisany w Sprawdź i bezpieczne z aktualizacji wersji klienta Sophos Connect.
Kiedy ZTNA jest lepszym rozwiązaniem
Nie każdy przypadek zdalnego dostępu wymaga klasycznej sieci VPN. Kiedy użytkownicy potrzebują jedynie dostępu do indywidualnych aplikacji internetowych lub zdefiniowanych usług wewnętrznych, ZTNA jest często czystszą architekturą. Klient nie uzyskuje wówczas pełnego dostępu do sieci, a jedynie dostęp do potrzebnych mu aplikacji.
ZTNA jest szczególnie odpowiednia, jeśli:
- nie jest wymagana pełna dostępność sieci
- użytkownicy zewnętrzni korzystają wyłącznie z indywidualnych aplikacji
- Dostęp powinien być ściślej powiązany z tożsamością, urządzeniem i polityką
- Zasady VPN rozwinęły się w przeszłości i stały się zbyt szerokie
ZTNA nie zastępuje każdego VPN. Klasyczna sieć VPN może być nadal konieczna do dostępu administratora, wielu protokołów, specjalnego oprogramowania lub złożonych ścieżek sieciowych. Złącze brama Sophos ZTNA służy jako wprowadzenie.
Bezpieczeństwo i operacje
Niezależnie od wybranego klienta, kwestie operacyjne pozostają podobne. Zdalny dostęp jest publicznie dostępnym punktem wejścia do sieci i powinien nie tylko działać technicznie, ale także być obsługiwany w sposób czysty.
Ważne punkty:
- Aktywuj i przetestuj MFA dla zdalnego dostępu.
- W Sophos Connect sprawdź, czy metoda MFA pasuje do klienta. Metody OTP challenge-based nie działają tak samo jak User Portal lub WebAdmin; Sophos Connect używa formatu hasło plus OTP albo przepływów call/push.
- Regularnie sprawdzaj grupy użytkowników.
- Zwolnij tylko wymagane docelowe sieci i usługi.
- Jasno nazwij i zarejestruj reguły zapory sieciowej dla strefy
VPN. - Usuń profile VPN przy opuszczaniu lub zmianie urządzenia.
- Oczyść starsze konfiguracje przed SFOS 22.0 MR1.
- Użyj przeglądarki dzienników i logów centralnych w celu wykrycia błędów logowania i połączenia.
Do MFA pasuje Skonfiguruj MFA zapory Sophos. Jeśli połączenia zostały nawiązane, ale nie ma przepływu ruchu, Rozwiązywanie problemów z zaporą sieciową Sophos IPsec VPN i Przetestuj ustawienia zapory ogniowej za pomocą ustawień dzienników, testu zasad i przechwytywania) pomoc pakietów.
Jeśli dostęp do Portalu VPN, Portalu Użytkownika lub SSL VPN jest możliwy z Internetu, należy także zaznaczyć opcję Dostęp do urządzeń i lista ACL usług lokalnych. Zdalny dostęp to nie tylko kwestia klienta, ale także publicznie dostępna usługa zapory ogniowej.