Przejdz do tresci
Avanet

Konfiguracja Sophos SSL VPN na Androidzie

Sophos Firewall

Sophos Connect nie obsługuje bezpośrednio Androida dla IPsec lub SSL VPN. Jeśli smartfon lub tablet z Androidem ma być połączony zdalnie przez Sophos Firewall, potrzebny jest klient kompatybilny z OpenVPN. W wielu środowiskach OpenVPN Connect jest oczywistym standardem, ponieważ Sophos Firewall udostępnia konfigurację .ovpn dla klientów mobilnych.

Artykuł opisuje praktyczny proces konfiguracji Sophos SSL VPN na Androidzie: instalacja aplikacji, pobranie konfiguracji .ovpn, import profilu, testowanie połączenia i ograniczanie typowych błędów. Dla podstawowej decyzji między Sophos Connect, SSL VPN, IPsec, klientami mobilnymi i ZTNA, najpierw zapoznaj się z Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest odpowiednie?.

Kiedy SSL VPN na Androidzie ma sens

SSL VPN na Androidzie ma sens, gdy mobilni użytkownicy muszą okazjonalnie uzyskać dostęp do systemów wewnętrznych i wystarczy im klasyczny profil VPN.

Typowe przykłady:

  • Dostęp do wewnętrznych aplikacji webowych
  • Dostęp administracyjny do kilku systemów za pomocą tabletu
  • Dostęp do wewnętrznych narzędzi przez zdefiniowane aplikacje
  • Tymczasowy dostęp bez zarządzanego klienta notebooka
  • Rozwiązanie przejściowe, gdy ZTNA lub proxy aplikacji nie są jeszcze dostępne

Dla trwałego dostępu do wielu systemów wewnętrznych urządzenie mobilne często nie jest najlepszą platformą docelową. W takim przypadku warto rozważyć, czy zarządzany klient Windows lub macOS z Sophos Connect, bardziej zintegrowany dostęp ZTNA lub inne rozwiązanie zdalnego dostępu nie będzie lepsze.

Porównanie z innymi klientami

Ta instrukcja dotyczy Sophos Firewall z SFOS i urządzeń z Androidem. W zależności od platformy lub sytuacji początkowej, może być potrzebne inne podejście:

SytuacjaOdpowiednie podejście
Konfiguracja SSL VPN na AndroidzieTen artykuł
Konfiguracja SSL VPN z Sophos Connect na WindowsKonfiguracja Sophos SSL VPN z Sophos Connect na Windows
Konfiguracja SSL VPN z Sophos Connect na macOSKonfiguracja Sophos SSL VPN z Sophos Connect na macOS
Konfiguracja SSL VPN na iPhone i iPadKonfiguracja Sophos SSL VPN na iPhone i iPad
Instalacja Sophos Connect na WindowsInstalacja klienta Sophos Connect na Windows
Instalacja Sophos Connect na macOSInstalacja klienta Sophos Connect na macOS

Ważne jest rozróżnienie: Sophos Connect nie jest bezpośrednim klientem SSL VPN dla Androida. Jeśli mają być obsługiwane urządzenia mobilne, należy wewnętrznie jasno określić, który klient kompatybilny z OpenVPN będzie używany, skąd pochodzą profile i kto wspiera zmiany urządzeń.

Wymagania wstępne

Przed konfiguracją należy wyjaśnić następujące kwestie:

  • Sophos Firewall z skonfigurowanym zdalnym dostępem SSL VPN
  • Użytkownik z uprawnieniami do SSL VPN
  • Dostęp do portalu VPN lub administracyjnie udostępniony plik .ovpn
  • Klient kompatybilny z OpenVPN na Androidzie
  • MFA/OTP skonfigurowane, jeśli zdalny dostęp jest tym chroniony
  • Ważny certyfikat dla portalu VPN i dostępu do zapory, jeśli to możliwe
  • Zasady zapory dla ruchu z VPN-zone
  • Wyjaśniony projekt Split-Tunnel lub Full-Tunnel
  • Proces wsparcia dla zmiany urządzeń, utraconych urządzeń i starych profili

Przed aktualizacją do SFOS 22.0 MR1 lub nowszej należy dodatkowo sprawdzić, czy nadal istnieją stare konfiguracje zdalnego dostępu IPsec. SSL VPN nie jest bezpośrednio dotknięty, ale wiele środowisk ocenia zdalny dostęp w tym momencie na nowo. Proces opisano w Migracja Legacy Remote Access IPsec przed SFOS 22 MR1.

Przygotowanie zapory i portalu VPN

Konfiguracja na Androidzie to tylko ostatni krok. Wcześniej musi być poprawna konfiguracja zapory.

Na Sophos Firewall należy sprawdzić następujące punkty:

  1. Otwórz Remote access VPN.
  2. Skonfiguruj SSL VPN dla potrzebnych użytkowników lub grup.
  3. Użyj puli IP VPN bez nakładania się z LAN, WLAN, VLAN, VPN site-to-site lub typowymi sieciami domowymi.
  4. Ustaw odpowiednie serwery DNS i przyrostki domen, jeśli używane są wewnętrzne nazwy.
  5. Aktywuj MFA dla zdalnego dostępu i przetestuj z użytkownikiem testowym.
  6. Utwórz zasadę zapory z VPN do potrzebnej strefy docelowej.
  7. Aktywuj logowanie na fazę wprowadzania.
  8. Udostępnij portal VPN przez Administration > Device access tylko w takim zakresie, jak to konieczne.

Pełny proces po stronie zapory opisano w Konfiguracja zdalnego dostępu SSL VPN na Sophos Firewall.

Portal VPN jest publicznie dostępnym punktem wejścia. Jeśli musi być dostępny z internetu, należy świadomie zaplanować certyfikat, MFA, ograniczenie krajów/źródeł i sprawdzanie logów. Do wzmocnienia zabezpieczeń pasuje Dostęp do urządzenia i lokalna ACL na Sophos Firewall.

1. Instalacja OpenVPN Connect

Zainstaluj OpenVPN Connect z Google Play: OpenVPN Connect.

Jeśli w środowisku standardem jest inny klient kompatybilny z OpenVPN, decyzja ta powinna być udokumentowana. Problem pojawia się, gdy użytkownicy równolegle używają różnych aplikacji VPN, starych profili i różnych instrukcji.

Dla wsparcia i działania należy ustalić:

  • który klient jest wspierany
  • jaka wersja aplikacji jest minimalnie oczekiwana
  • czy użytkownicy mogą sami instalować aplikację
  • jak profile są dystrybuowane i wycofywane
  • jak traktowane są utracone lub wymienione urządzenia

2. Otwórz portal VPN

Na urządzeniu z Androidem otwórz portal VPN Sophos Firewall w przeglądarce i zaloguj się jako użytkownik VPN. W większości środowisk wystarczy zwykła przeglądarka Android lub Chrome. Ważne jest, aby pobrany plik .ovpn mógł być następnie przekazany do OpenVPN Connect.

Jeśli portal VPN jest otwierany z nieprawidłowym lub niewiarygodnym certyfikatem, należy usunąć przyczynę. Stałe wyjątki przeglądarki nie są dobrym standardem operacyjnym dla zdalnego dostępu.

Przy MFA należy przetestować proces z prawdziwym użytkownikiem testowym. Szczególnie ważne jest, czy drugi czynnik jest wymagany w osobnym polu, czy też hasło i kod OTP muszą być wprowadzone w oczekiwanej formie. Podstawy opisano w Aktywacja MFA dla Sophos Firewall WebAdmin, portalu VPN i zdalnego dostępu.

3. Pobierz konfigurację OVPN

W portalu VPN przejdź do sekcji SSL VPN lub VPN i pobierz konfigurację dla Android/iOS. W zależności od wersji SFOS i widoku portalu, link nazywa się odpowiednio Download configuration for Android/iOS.

Pobrany plik zazwyczaj ma rozszerzenie .ovpn. Ten plik jest przypisany do użytkownika i nie powinien być udostępniany innym użytkownikom.

Ważne:

  • Plik powinien pochodzić z aktualnej konfiguracji zapory.
  • Stare pliki z archiwów e-mail, czatów lub folderów pobierania nie powinny być ponownie używane.
  • Po zmianach w polityce SSL VPN, certyfikacie, bramie, DNS lub grupie użytkowników, profil powinien być ponownie załadowany.
  • Jeśli użytkownik opuszcza firmę lub urządzenie zostaje utracone, należy sprawdzić dostęp użytkownika, członkostwo w grupie i dystrybucję profilu.

4. Import profilu do OpenVPN Connect

Jeśli Android nie oferuje automatycznego importu, plik .ovpn można otworzyć za pomocą funkcji udostępniania lub importu plików w OpenVPN Connect. OpenVPN Connect wyświetli następnie nowy profil i poprosi o uprawnienie do utworzenia połączenia VPN przy pierwszej konfiguracji.

To potwierdzenie Androida jest konieczne, aby aplikacja mogła utworzyć połączenie VPN. Jeśli potwierdzenie zostanie odrzucone, profil może być widoczny w aplikacji, ale połączenie nie może być poprawnie nawiązane.

Przy wielu profilach nazwa powinna być jednoznaczna, na przykład z lokalizacją, środowiskiem lub nazwą firmy. Kilka prawie identycznie nazwanych profili to częsty powód wsparcia.

5. Nawiązanie połączenia VPN

Aktywuj zaimportowany profil i zaloguj się jako użytkownik VPN. Jeśli MFA lub OTP jest aktywne, drugi czynnik musi być potwierdzony zgodnie z konfiguracją zapory.

Po pomyślnym nawiązaniu połączenia nie tylko aplikacja OpenVPN powinna być wyświetlana jako połączona. Kluczowe jest, czy planowane wewnętrzne cele są osiągalne i czy ruch na zaporze trafia na właściwą zasadę.

Sprawdzenie po konfiguracji

Przynajmniej te punkty powinny być sprawdzone z użytkownikiem testowym:

  • OpenVPN Connect pokazuje połączenie jako połączone.
  • Android pokazuje status VPN na pasku stanu lub w ustawieniach sieci.
  • Użytkownik otrzymuje adres IP z oczekiwanej puli SSL VPN.
  • Wewnętrzne nazwy DNS są poprawnie rozwiązywane.
  • Wymagane serwery, aplikacje webowe lub usługi są osiągalne.
  • Zachowanie internetu odpowiada projektowi: Split Tunnel lub Full Tunnel.
  • W Log Viewer widoczna jest oczekiwana zasada zapory dla ruchu z VPN-zone.
  • MFA jest wymagane zgodnie z planem.
  • Przetestuj ponownie połączenie po trybie samolotowym, zmianie Wi-Fi lub zmianie sieci komórkowej.
  • Stare profile zostały usunięte lub wyraźnie oznaczone jako przestarzałe.

Jeśli połączenie jest nawiązane, ale brak dostępu, przyczyna często nie leży po stronie klienta mobilnego, ale w zasadach zapory, DNS, routingu lub NAT. Do analizy pasuje Testowanie zasad zapory za pomocą Log Viewer, Policy Test i Packet Capture.

Ręczna dystrybucja czy MDM?

Przy niewielkiej liczbie urządzeń z Androidem ręczny import przez portal VPN, folder pobierania i OpenVPN Connect może wystarczyć. Gdy zaangażowanych jest więcej użytkowników, zarządzane smartfony lub regularne zmiany urządzeń, dystrybucja profili powinna być świadomie zaplanowana. W przeciwnym razie stare pliki .ovpn pozostają w pobraniach, czatach, e-mailach lub prywatnych chmurach i są później ponownie używane w przypadkach wsparcia.

WariantSensowny, gdyNa co zwrócić uwagę
Ręczny importniewiele urządzeń, grupa pilotażowa, okazjonalne użyciejasna instrukcja, aktualny profil, test MFA i usunięcie starych profili
Dystrybucja przez MDM lub zarządzanie punktami końcowymizarządzane urządzenia z Androidem, wielu użytkowników, powtarzające się zmianywdrożenie aplikacji, wersja profilu, utrata urządzenia, wycofanie starych profili i proces wsparcia

Ważne jest wycofanie. Jeśli urządzenie z Androidem zostanie wymienione, użytkownik opuści firmę lub zmieni się polityka SSL VPN, nie wystarczy dostarczyć nowego profilu. Należy również sprawdzić stare profile, członkostwa w grupach, zapisane dane logowania i ewentualnie istniejące kopie plików.

Działanie i bezpieczeństwo

Mobilne profile VPN wymagają jasnych zasad operacyjnych. Urządzenia z Androidem często przełączają się między Wi-Fi, siecią komórkową, hotspotami i portalami captive. Dodatkowo urządzenia mobilne łatwiej się gubią lub są szybciej wymieniane niż klasyczne notebooki firmowe.

Dobre praktyki:

  • Regularnie aktualizuj OpenVPN Connect.
  • Aktywuj i przetestuj MFA dla zdalnego dostępu.
  • Regularnie sprawdzaj grupy VPN.
  • Ogranicz portal VPN przez Device Access i Local Service ACL, o ile to możliwe.
  • Trzymaj zasady zapory dla VPN-zone wąsko i loguj.
  • Usuń stare pliki .ovpn i przestarzałe profile.
  • Uwzględnij zmiany urządzeń i utracone urządzenia w procesie wsparcia.
  • Przy dłuższym przechowywaniu logów zaplanuj Syslog lub centralną analizę.

Dla plików logów i logów usług pomocne jest Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.

Typowe błędy

Plik OVPN nie otwiera się

Najpierw sprawdź, czy OpenVPN Connect jest zainstalowany i czy plik rzeczywiście ma rozszerzenie .ovpn. Następnie pobierz plik ponownie z portalu VPN lub przekaż go do OpenVPN Connect za pomocą funkcji udostępniania.

Jeśli plik jest dystrybuowany przez MDM, e-mail lub udostępnianie plików, należy sprawdzić, czy plik nie został zmieniony, przemianowany lub zablokowany po drodze.

Import działa, ale połączenie nie

Często uprawnienie Androida do konfiguracji VPN nie jest poprawnie przyznane lub profil nie pasuje do aktualnej konfiguracji zapory. Usuń profil, pobierz ponownie aktualny plik .ovpn i zaimportuj ponownie.

Logowanie nie powiodło się

Sprawdź użytkownika, hasło, MFA, członkostwo w grupie i serwer uwierzytelniający. Jeśli zaangażowane są AD, RADIUS lub Microsoft Entra ID SSO, uwierzytelnianie powinno być testowane oddzielnie od VPN. Problem z logowaniem nie jest automatycznie problemem OpenVPN.

Połączenie jest, ale wewnętrzne systemy nie są osiągalne

Sprawdź DNS, zasady zapory, routing, NAT i powrotną trasę. W Log Viewer powinien być widoczny ruch z VPN-zone. Jeśli nie pojawiają się logi, ruch prawdopodobnie nie trafia na oczekiwaną zasadę lub logowanie jest wyłączone.

W przypadku pojedynczych systemów wewnętrznych często nie VPN jest uszkodzony, ale brakująca zasada zapory, błędna nazwa DNS lub powrotna trasa w sieci docelowej.

Jeśli małe dostępy działają, ale większe transfery plików lub określone aplikacje zawieszają się, należy dodatkowo sprawdzić MTU/MSS: Sprawdzenie MTU i MSS w Sophos Firewall przy problemach z VPN.

Wewnętrzne nazwy nie są rozwiązywane

Sprawdź serwery DNS i domenę wyszukiwania w konfiguracji SSL VPN. Następnie przetestuj, czy wewnętrzne systemy są osiągalne przez adres IP. Jeśli IP działa, ale nazwa nie, przyczyna prawdopodobnie leży w DNS, a nie w samej sieci VPN.

Połączenie przerywa się przy zmianie sieci

W przypadku urządzeń mobilnych typowymi przyczynami są zmiany Wi-Fi, zmiany sieci komórkowej, portale captive i mechanizmy oszczędzania energii. Przetestuj z drugim siecią i sprawdź, czy zachowanie jest powtarzalne.

Jeśli użytkownicy często zmieniają sieci, należy sprawdzić, czy aplikacja może obsłużyć krótkie przerwy w VPN, czy też lepiej pasuje inne podejście do dostępu.

Lista kontrolna

Przed wdrożeniem

  • Zdefiniowany wspierany klient OpenVPN.
  • Sprawdzona grupa użytkowników SSL VPN.
  • Przetestowane MFA dla zdalnego dostępu.
  • Portal VPN dostępny z ważnym certyfikatem.
  • Świadomie ograniczony dostęp do urządzenia i dostęp z internetu.
  • Utworzone i zalogowane zasady zapory dla VPN-zone.
  • Udokumentowany Split Tunnel lub Full Tunnel.
  • Wyjaśniona dystrybucja profili i proces zmiany urządzeń.

Po imporcie

  • Profil widoczny w OpenVPN Connect.
  • Potwierdzona autoryzacja VPN na Androidzie.
  • Nawiązane połączenie z użytkownikiem testowym.
  • Sprawdzony DNS, wewnętrzne cele i dopasowanie zasad zapory.
  • Przetestowane Wi-Fi, sieć komórkowa i zmiany sieci.
  • Usunięte stare profile.

W trakcie działania

  • Aktualizuj aplikację OpenVPN i Androida.
  • Regularnie sprawdzaj grupy użytkowników.
  • Usuwaj stare profile przy odejściu lub utracie urządzenia.
  • W przypadku problemów wsparcia wcześnie sprawdzaj logi VPN.
  • Przy powtarzających się problemach mobilnych rozważ ZTNA lub dostęp aplikacyjny.

FAQ

Czy Sophos Connect obsługuje SSL VPN na Androidzie?

Nie. Sophos Connect nie obsługuje bezpośrednio Androida dla IPsec i SSL VPN. Na Androidzie używany jest klient kompatybilny z OpenVPN.

Czy muszę używać OpenVPN Connect?

Nie jest to konieczne. OpenVPN Connect jest jednak powszechnym standardem dla profili OpenVPN na Androidzie. Jeśli używany jest inny klient, powinien być on wewnętrznie jasno udokumentowany i wspierany.

Czy MFA działa z SSL VPN na Androidzie?

Tak, jeśli MFA jest poprawnie skonfigurowane na Sophos Firewall dla zdalnego dostępu. W zależności od konfiguracji, drugi czynnik jest przetwarzany przy logowaniu lub przez wprowadzenie hasła.

Czy SSL VPN na Androidzie jest lepsze niż IPsec?

Nie zawsze. SSL VPN jest często praktyczne, gdy profile OpenVPN są już ustalone. Dla niektórych środowisk inne rozwiązanie zdalnego dostępu z IPsec, ZTNA lub dostępem aplikacyjnym może być lepsze.

Dlaczego połączenie działa, ale żadna wewnętrzna aplikacja nie działa?

Wtedy tunel to tylko część problemu. Często brakuje zasad zapory, rozwiązywania DNS, routingu lub powrotnych tras. W Log Viewer należy sprawdzić, czy ruch z VPN-zone trafia na oczekiwaną zasadę.