Saltar para o conteudo
Avanet

Configurar o Acesso Remoto VPN SSL no Sophos Firewall

Sophos Firewall

O VPN SSL continua a ser uma via importante de acesso remoto no Sophos Firewall, especialmente quando os utilizadores trabalham a partir de hotéis, redes Wi-Fi de convidados, redes móveis ou redes externas restritivas. No entanto, o mais importante não é apenas se o túnel é estabelecido. O que importa é se o firewall limita adequadamente o acesso, se o DNS funciona, se o MFA é aplicado e se as regras de firewall permitem o tráfego da zona VPN de forma controlada.

Este artigo descreve a configuração do lado do firewall para o Acesso Remoto VPN SSL no Sophos Firewall. Para a instalação do cliente, consulte Configurar o Sophos SSL VPN com o Sophos Connect no Windows, Configurar o Sophos SSL VPN com o Sophos Connect no macOS, Configurar o Sophos SSL VPN no iPhone e iPad e Configurar o Sophos SSL VPN no Android.

Para a decisão básica entre IPsec, VPN SSL, clientes móveis e ZTNA, consulte primeiro Sophos Connect ou VPN SSL: Qual é a solução de acesso remoto adequada?.

Qual é o artigo de VPN SSL adequado?

O VPN SSL consiste na configuração do firewall, portal, cliente, autenticação e análise de erros posterior. Dependendo da tarefa, um ponto de partida diferente pode ser mais adequado:

SituaçãoMelhor ponto de partida
Configurar VPN SSL no firewallEste artigo
Comparar fundamentalmente Sophos Connect ou VPN SSLSophos Connect ou VPN SSL: Qual é a solução de acesso remoto adequada?
Manter versões e perfis do cliente Sophos ConnectVerificar e atualizar com segurança a versão do cliente Sophos Connect
Configurar cliente VPN SSL no WindowsConfigurar o Sophos SSL VPN com o Sophos Connect no Windows
Configurar VPN SSL no macOS, iOS ou AndroidmacOS, iPhone/iPad ou Android
Usar Microsoft Entra ID SSO ou Entra-MFAConfigurar Microsoft Entra ID SSO para Sophos Connect e Portal VPN
VPN está conectada, mas o tráfego não funcionaTestar regra de firewall com Log Viewer, Policy Test e Packet Capture
Grandes transferências travam ou aplicações individuais não carregamVerificar MTU e MSS do Sophos Firewall em problemas de VPN

Esta separação é importante: um problema do utilizador no Portal VPN, um perfil .ovpn desatualizado, uma regra de firewall ausente e um problema de DNS muitas vezes parecem iguais para o utilizador. Para a análise, essas camadas devem ser separadas.

Imagem de destino

Uma configuração limpa de VPN SSL consiste em vários componentes:

  1. Os utilizadores ou grupos estão autorizados na política correta de VPN SSL.
  2. As configurações globais de VPN SSL definem o Gateway, Porta, Certificado, Intervalo de Lease, DNS e Criptografia.
  3. O Portal VPN é acessível apenas na medida do necessário e protegido com MFA.
  4. As regras de firewall permitem tráfego da zona VPN apenas para os destinos necessários.
  5. O Split Tunnel ou Full Tunnel é decidido conscientemente.
  6. Os clientes importam um perfil .ovpn atualizado.
  7. Logs, Packet Capture e dados de suporte podem ser avaliados em caso de erro.

Muitos problemas de VPN SSL surgem porque apenas o download do cliente é documentado. Na prática, é necessário considerar o Portal, Autenticação, Política de VPN SSL, Regra de Firewall, DNS e NAT em conjunto.

⚠️ O VPN SSL é um ponto de entrada acessível publicamente. MFA e senhas fortes são importantes, mas não substituem a limitação através de Device access, grupos de utilizadores restritos, perfis atualizados, logging e revisões regulares.

Pré-requisitos

Antes da configuração, estes pontos devem ser esclarecidos:

  • Sophos Firewall com a versão SFOS atual.
  • Acessibilidade pública do firewall ou um Port Forwarding pré-configurado.
  • FQDN ou endereço IP público para o acesso VPN.
  • Certificado para o Portal VPN e VPN SSL, idealmente correspondente ao FQDN.
  • Utilizadores ou grupos para Acesso Remoto.
  • Servidor de autenticação: local, Active Directory, RADIUS ou Microsoft Entra ID.
  • Conceito de MFA/OTP para o Portal VPN e Acesso Remoto.
  • Redes de destino internas, servidores DNS e domínio de pesquisa.
  • Decisão entre Split Tunnel ou Full Tunnel.
  • Regras de firewall para tráfego da zona VPN.
  • Processo para atualização do cliente e redistribuição do arquivo .ovpn.

Se o Microsoft Entra ID SSO for utilizado, a autenticação deve ser corretamente preparada antes do download da configuração VPN. O procedimento está em Configurar Microsoft Entra ID SSO para Sophos Connect e Portal VPN.

1. Preparar objetos locais

Primeiro, as redes de destino devem existir como hosts ou objetos de rede:

Hosts and services > IP host

Objetos típicos:

ObjetoExemploFinalidade
LAN_Server10.10.10.0/24servidores internos
LAN_Client10.10.20.0/24rede de clientes, se necessário
DNS_Internal10.10.10.10DNS interno ou Controlador de Domínio
SSLVPN_Usersgrupo de utilizadoresmembros da política

Não se deve simplesmente liberar áreas de rede internas completas se apenas servidores ou sub-redes individuais forem necessários. Quanto mais restritos forem os objetos definidos, mais fácil será a regra de firewall posteriormente.

2. Verificar configurações globais de VPN SSL

As configurações globais aplicam-se a todas as políticas de VPN SSL de acesso remoto:

Remote access VPN > SSL VPN > SSL VPN global settings

Protocolo e Porta

O VPN SSL pode usar TCP ou UDP, dependendo da configuração. O UDP é frequentemente mais eficiente, enquanto o TCP pode funcionar melhor em redes restritivas. A decisão deve ser testada nas redes de onde os utilizadores realmente trabalham.

Na porta, deve-se evitar sobreposições:

  • A porta padrão do VPN SSL é frequentemente 8443.
  • O Portal VPN usa por padrão 443 nas versões atuais do SFOS.
  • Regras WAF e VPN SSL não devem se sobrepor na mesma WAN-IP com a mesma porta e protocolo.
  • Se o VPN SSL e o Portal VPN usarem a mesma porta, as funções de segurança de login podem não funcionar como esperado.

Se WAF, Portal VPN, User Portal e VPN SSL forem operados na mesma WAN-IP, a porta, protocolo e certificado devem ser documentados conscientemente. Para fundamentos de WAF, consulte Configurar WAF no Sophos Firewall e evitar erros comuns.

Certificado e Nome de Host de Substituição

Em SSL server certificate, deve-se usar um certificado que corresponda ao FQDN público. Um erro de certificado no Portal VPN ou no perfil VPN SSL resultará em casos de suporte desnecessários posteriormente.

Em Override hostname, define-se qual nome de host ou endereço IP os clientes usarão no perfil .ovpn. Isso é especialmente importante em:

  • múltiplos endereços IP WAN,
  • roteador pré-configurado,
  • NAT ou Port Forwarding antes do firewall,
  • IP WAN dinâmica com DDNS,
  • FQDNs separados para WebAdmin, Portal VPN e VPN SSL.

Se o campo permanecer vazio, vários endereços de interface podem aparecer no perfil. Isso pode funcionar, mas em ambientes produtivos é frequentemente menos claro do que um FQDN bem definido.

Intervalo de Lease

O Sophos Firewall atribui endereços aos clientes VPN SSL a partir do intervalo de lease configurado. Este intervalo não deve colidir com redes internas, rotas estáticas, VPNs site-to-site ou áreas de rede domésticas típicas.

Deve-se evitar sub-redes comuns como:

  • 192.168.0.0/24
  • 192.168.1.0/24
  • 192.168.2.0/24
  • 10.0.0.0/24
  • 10.0.1.0/24

Se o intervalo de lease colidir com a rede doméstica de um utilizador, o túnel pode se conectar com sucesso, mas os destinos internos permanecem inacessíveis. Isso parece um problema de regra de firewall, mas é um problema de roteamento no endpoint.

Para regras de firewall, deve-se usar os hosts do sistema ##ALL_SSLVPN_RW e, no caso de IPv6, ##ALL_SSLVPN_RW6, em vez de hosts manualmente recriados com intervalos de lease antigos.

Endereços IP Estáticos de VPN SSL e Tempo de Vida da Chave

Endereços IP estáticos de VPN SSL podem ser úteis em casos específicos, como para acessos administrativos, acessos especiais rigorosamente registados ou aplicações legadas com liberação baseada em IP. No entanto, não são adequados como padrão para todos os utilizadores. Quanto mais atribuições estáticas existirem, mais difícil será a operação, análise de erros e migrações futuras.

Na lista de problemas conhecidos, um caso especial concreto está documentado: com VPN SSL com autenticação local e IP de VPN SSL atribuído estaticamente, a reautenticação após o término do tempo de vida da chave pode falhar. O firewall pode tratar o endereço de lease já atribuído como um conflito. Os utilizadores devem então se reconectar manualmente, embora o túnel tenha funcionado anteriormente. Um valor típico de tempo de vida da chave é 18000 segundos.

Se um utilizador precisar se reconectar repetidamente após várias horas, não se deve apenas verificar o MFA, a versão do cliente e a regra de firewall. Além disso, estes pontos devem ser incluídos na análise:

  • A autenticação local é usada para VPN SSL?
  • O utilizador tem um endereço IP de VPN SSL estático?
  • O problema ocorre aproximadamente após o término do tempo de vida da chave?
  • O mesmo utilizador funciona de forma mais estável com atribuição de IP dinâmica?
  • Um IP estático é realmente necessário ou uma regra sobre grupo de utilizadores, host do sistema VPN SSL e logging é suficiente?

Como medidas pragmáticas, a Sophos menciona duas direções: planejar o tempo de vida da chave para cobrir o dia de trabalho normal ou usar atribuição de IP dinâmica. Em muitos ambientes, a atribuição dinâmica é mais limpa, pois as regras de firewall devem ser controladas sobre a zona VPN, grupo de utilizadores, objetos de destino e os hosts do sistema VPN SSL.

DNS e Nome de Domínio

Para resolução de nomes internos, os servidores DNS e, opcionalmente, um Nome de Domínio são definidos nas configurações globais de VPN SSL. Em ambientes de Active Directory, isso geralmente é um servidor DNS interno ou Controlador de Domínio.

Além disso, deve-se permitir DNS da zona VPN em Administration > Device access se o firewall for usado como resolvedor DNS no design VPN.

Se o DNS no túnel não funcionar, deve-se testar separadamente:

  • O destino é acessível por endereço IP?
  • O servidor DNS interno é permitido pela regra de firewall?
  • O cliente recebe o domínio de pesquisa correto?
  • O cliente realmente usa o perfil .ovpn atual?
  • A configuração local de DNS ou DoH do endpoint interfere?

3. Criar política de VPN SSL

A política é criada em:

Remote access VPN > SSL VPN

Procedimento:

  1. Selecionar Add.
  2. Usar Configure manually.
  3. Atribuir um nome, por exemplo, SSLVPN-Remote-Users.
  4. Em Policy members, selecionar os utilizadores ou grupos autorizados.
  5. Definir Split Tunnel ou Full Tunnel.
  6. No Split Tunnel, selecionar os Permitted network resources.
  7. Opcionalmente, configurar Disconnect idle clients.
  8. Salvar e, em seguida, testar com um utilizador de teste.

Importante: Se os utilizadores ou grupos forem incluídos em uma política de VPN SSL mais recente que já estão em uma política de VPN SSL anterior, o Sophos Firewall removerá essa associação da política anterior. Portanto, deve-se evitar sobreposições de políticas e definir claramente qual política se aplica a cada grupo de utilizadores.

4. Decidir entre Split Tunnel ou Full Tunnel

Split Tunnel

No Split Tunnel, apenas o tráfego para os recursos internos permitidos passa pelo túnel VPN. O tráfego de Internet do utilizador continua a passar diretamente pela rede local do utilizador.

O Split Tunnel é frequentemente adequado para:

  • Acesso a poucas aplicações internas,
  • Menor carga no firewall,
  • Melhor desempenho do utilizador,
  • Pequenos locais externos e utilizadores móveis.

A segurança depende mais do endpoint, do ambiente de rede local e dos recursos internos liberados.

Full Tunnel

No Full Tunnel, todo o tráfego do utilizador remoto é encaminhado pelo firewall. No Sophos Firewall, isso corresponde à opção Use as default gateway.

O Full Tunnel é mais adequado quando:

  • O tráfego de Internet deve ser controlado centralmente,
  • Web Protection, DNS Protection ou logging devem ser aplicados aos utilizadores VPN,
  • Os utilizadores trabalham a partir de redes inseguras,
  • A conformidade exige avaliação central.

No Full Tunnel, a política de VPN SSL sozinha não é suficiente. São necessárias regras de firewall adicionais e NAT/SNAT para o tráfego de Internet da zona VPN. Além disso, deve-se testar previamente o desempenho, largura de banda, filtragem web e logging.

5. Criar regras de firewall para a zona VPN

O estabelecimento do túnel não significa que o tráfego está permitido. Para acessar recursos internos, é necessária uma regra de firewall adequada:

Rules and policies > Firewall rules

Regra recomendada para Split Tunnel:

CampoRecomendação
Rule nameVPN_SSLVPN_to_Internal_Servers
Source zoneVPN
Source networks and devices##ALL_SSLVPN_RW
Destination zoneszonas de destino internas, por exemplo, LAN ou DMZ
Destination networksapenas servidores ou sub-redes permitidos
Servicesapenas serviços necessários
Log firewall trafficativar

Para Full Tunnel, é necessária uma regra adicional de VPN para WAN ou Any, dependendo do design. As redes de origem devem continuar a ser os hosts do sistema VPN SSL. Depois, deve-se verificar se existe uma regra SNAT adequada.

Se uma conexão estiver estabelecida, mas o acesso não funcionar, deve-se primeiro verificar o Log Viewer. Para a metodologia, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

6. Proteger o Portal VPN e Device Access

Os utilizadores geralmente baixam o Sophos Connect e o arquivo .ovpn através do Portal VPN:

Administration > Admin and user settings
Administration > Device access
Authentication > Services
Authentication > Multi-factor Authentication

Verificar pelo menos:

  • Porta e certificado do Portal VPN.
  • Métodos de autenticação do Portal VPN.
  • MFA para Portal VPN e Acesso Remoto.
  • Device Access para VPN Portal apenas nas zonas necessárias.
  • Device Access para SSL VPN na zona WAN apenas se necessário externamente.
  • Não deixar o User Portal permanentemente aberto na WAN, se não for necessário.

Para reforçar os serviços locais do firewall, consulte Device Access e Local Service ACL no Sophos Firewall. Para fundamentos de MFA, consulte Ativar MFA para Sophos Firewall WebAdmin, Portal VPN e Acesso Remoto.

O Portal VPN só faz sentido para os utilizadores se eles ou seus grupos estiverem incluídos em uma política de acesso remoto adequada. Se faltar a associação à política, o utilizador não verá os downloads de configuração necessários.

Se o Portal VPN ou o VPN SSL precisarem ser permitidos na zona WAN, isso deve ser documentado conscientemente. Em muitos ambientes, não basta abrir o serviço globalmente e confiar no MFA. Onde possível, devem ser verificadas redes de origem fixas, limitação por país, Threat Feeds, verificação de logs ou um design de acesso remoto pré-configurado.

7. Distribuir o perfil do cliente

Após a configuração da política e do portal, o arquivo .ovpn é distribuído. Isso pode ser feito através do Portal VPN ou controlado pelo processo administrativo.

Importante:

  • Após alterações no Gateway, Porta, Certificado, DNS, Intervalo de Lease, Política ou Autenticação, o perfil deve ser recarregado.
  • Uma atualização do Sophos Connect não substitui um perfil .ovpn antigo.
  • Os nomes dos perfis devem ser claros.
  • Perfis antigos devem ser removidos em caso de mudança de local, mudança de gateway ou mudança de utilizador.
  • Windows, macOS, iOS, Android e Linux usam caminhos de cliente diferentes.

Para atualizações de clientes e manutenção de versões, consulte Verificar e atualizar com segurança a versão do cliente Sophos Connect.

Testar após a configuração

Com um utilizador de teste, deve-se verificar não apenas se o Sophos Connect exibe Connected.

Lista de testes:

  • O utilizador vê no Portal VPN o download do Sophos Connect e a configuração VPN SSL.
  • O arquivo .ovpn pode ser importado.
  • O MFA é solicitado conforme esperado.
  • O cliente recebe um endereço do intervalo de lease VPN SSL.
  • A rota para as redes internas permitidas aparece no endpoint.
  • Nomes DNS internos são resolvidos.
  • O acesso aos servidores permitidos funciona.
  • Redes não permitidas permanecem bloqueadas.
  • O Log Viewer mostra a regra de firewall correta.
  • O Packet Capture mostra tráfego através de uma interface tun, se necessário.
  • No Full Tunnel, o acesso à Internet e o SNAT também funcionam.

Se o teste for feito apenas com um utilizador administrador, erros de grupo e política podem ser facilmente ignorados. É melhor usar um utilizador piloto normal do grupo-alvo.

Teste de aceitação por cenário

Antes de um lançamento amplo, deve-se documentar claramente pelo menos estes casos de teste:

CenárioTesteResultado esperado
Novo utilizadorLogin no Portal VPN e importação de perfilO utilizador vê apenas a configuração VPN SSL adequada e pode importar o perfil
MFA ativoLogin com OTP correto e incorretoFator correto permite acesso, fator incorreto é rejeitado e registado
Split TunnelAcesso a destino interno permitido e não permitidoDestinos permitidos funcionam, outras redes permanecem bloqueadas
Full TunnelAcesso à Internet via VPNRegra de firewall, SNAT, DNS e política de segurança funcionam conforme planejado
DNSAcesso por nome e por endereço IPErros de DNS podem ser separados de problemas de roteamento ou regras
Alteração de perfilImportar novo perfil .ovpnFQDN, Porta, DNS ou Certificado alterados são visíveis no perfil do cliente
Caso de erroVerificar Log Viewer e Packet CaptureA regra de firewall que realmente corresponde e o fluxo de pacotes são compreensíveis

Para ambientes produtivos, cada teste deve incluir uma hora, um utilizador, uma plataforma cliente e um objetivo concreto. Declarações como “VPN funciona” ou “VPN não funciona” são muito imprecisas para casos de suporte futuros.

Coletar logs e evidências

Em problemas de VPN SSL, deve-se primeiro esclarecer se o erro está no login, na configuração do túnel ou no acesso a destinos internos. Essa separação economiza tempo, pois, caso contrário, autenticação, perfil do cliente, roteamento e regras de firewall são verificados de forma confusa.

Para um caso de teste reproduzível, estas informações devem ser anotadas:

EvidênciaPor que é importante
Nome de utilizador e grupomostra qual política de VPN SSL e autenticação devem ser aplicadas
Plataforma do cliente e versão do Sophos Connectsepara erros do cliente da configuração do firewall
Hora do testetorna o Log Viewer, sslvpn.log e logs de autenticação comparáveis
Rede de origem do utilizadorajuda em Wi-Fi de hotel, redes móveis, CGNAT, firewalls restritivos ou problemas de porta
Sistema de destino e serviçoevita declarações muito amplas como “VPN não funciona”
Resultado por endereço IP e por nome DNSsepara problemas de roteamento e DNS

Depois, deve-se realizar a verificação nesta ordem:

  1. Verificar autenticação: No Log Viewer e, se necessário, nos logs de autenticação, verificar se o utilizador, MFA, grupo e servidor de autenticação são bem-sucedidos. No Microsoft Entra ID SSO, oauth_sso_vpn.log também é relevante.
  2. Verificar status do túnel: Verificar conexão VPN SSL, endereço de lease e status do OpenVPN. No lado do firewall, sslvpn.log e openvpn-status*.log são úteis.
  3. Verificar regra de firewall: No Log Viewer, procurar tráfego da zona VPN e verificar qual regra realmente corresponde. A regra deve ter Log firewall traffic ativado.
  4. Verificar fluxo de pacotes: Se o Log Viewer não for suficiente, usar Packet Capture para filtrar por origem, destino e serviço. É importante saber se os pacotes são apenas Incoming ou também Forwarded.
  5. Verificar lado do destino: Se o tráfego sair do firewall, mas nenhuma resposta retornar, rota de retorno, firewall do servidor, firewall local do host ou um conflito de rede são mais prováveis do que a política de VPN SSL.

Para a atribuição dos logs mais importantes, consulte Resolução de Problemas no Sophos Firewall: Serviços e Logs. Para análise de regras com Log Viewer, Policy Test e Packet Capture, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Resolução de problemas

Utilizador não vê configuração VPN SSL no Portal VPN

Geralmente, falta a associação à política. Deve-se verificar se o utilizador ou seu grupo está incluído na política de VPN SSL em Policy members. Além disso, devem ser verificadas autenticação, MFA e acessibilidade do Portal VPN.

Se o login e a associação à política parecerem corretos, mas o download do arquivo .ovpn ainda estiver ausente ou falhar, também deve ser verificado o Limite de ID de Utilizador do Sophos Firewall. Isso é especialmente relevante se vários utilizadores usarem o portal, mas apenas alguns downloads falharem inesperadamente.

Túnel conecta, mas sistemas internos não são acessíveis

Primeiro, deve-se verificar se existe uma rota para a rede de destino interna no endpoint. Depois, procurar tráfego da zona VPN no Log Viewer. Se nenhum tráfego for visível, o cliente não está alcançando o firewall como esperado ou o perfil está desatualizado.

Se o tráfego for visível, mas a regra errada for aplicada, a ordem das regras ou a definição de serviço/destino deve ser corrigida. Se nenhuma resposta de retorno for recebida, roteamento, firewall de destino, firewall local do servidor ou um conflito de rede são prováveis.

DNS não funciona

Deve-se verificar se o acesso por endereço IP funciona. Se sim, o erro provavelmente está no DNS. Depois, verificar servidores DNS nas configurações globais de VPN SSL, Nome de Domínio, Device Access para DNS da zona VPN e comportamento de DNS do endpoint.

Acesso funciona apenas para alguns utilizadores

Então, a associação de grupo, associação à política, endereços IP estáticos de VPN SSL, status do MFA ou perfis desatualizados são mais prováveis do que um erro global de firewall. Associações de política duplicadas também devem ser verificadas.

Utilizador precisa se reconectar após várias horas

Se o VPN SSL funcionar inicialmente, mas após várias horas uma nova autenticação ou reconexão manual for necessária, deve-se primeiro verificar padrões de tempo, autenticação e modelo de lease. Isso é especialmente relevante com autenticação local e IP de VPN SSL atribuído estaticamente.

Procedimento prático:

  1. Anotar a hora da conexão e da desconexão.
  2. Comparar o tempo com o tempo de vida da chave configurado.
  3. Verificar se o utilizador tem um endereço IP de VPN SSL estático.
  4. Testar atribuição de IP dinâmica para um utilizador piloto, se possível operacionalmente.
  5. Procurar autenticação, endereço de lease e nova autenticação em sslvpn.log, openvpn-status*.log e Log Viewer.
  6. Se um tempo de vida da chave mais longo for escolhido, documentar a alteração e não entender como substituto para MFA ou controle de sessão limpo.

Se IPs estáticos forem usados apenas para simplificar as regras de firewall, o design deve ser revisado. Na maioria das vezes, grupos, objetos de destino claramente nomeados, serviços restritos e logging são uma base melhor do que endereços IP de utilizadores individuais.

Full Tunnel não tem acesso à Internet

Com Use as default gateway, é necessária uma regra de firewall para tráfego da zona VPN em direção à Internet e uma regra SNAT adequada. Além disso, as políticas de Web, DNS e segurança devem ser planejadas para que não bloqueiem inesperadamente os utilizadores VPN.

Conexão estável, mas grandes transferências travam

Se login, DNS e pequenos acessos funcionarem, mas RDP, transferências de arquivos, aplicações web ou grandes downloads travarem, deve-se verificar MTU e MSS. O padrão de erro geralmente corresponde a fragmentação, PPPoE, conexões tuneladas ou um caminho assimétrico, não apenas ao VPN SSL em si.

Para análise sistemática, consulte Verificar MTU e MSS do Sophos Firewall em problemas de VPN.

WAF ou Portal colidem com VPN SSL

Se WAF, Portal VPN, User Portal e VPN SSL estiverem na mesma WAN-IP, porta e protocolo devem ser separados claramente. Especialmente crítico são combinações compartilhadas de WAN-IP, porta e TCP. Em caso de drops não claros, verificar Log Viewer e Packet Capture.

Perfil está desatualizado após alteração

Após alterações na política de VPN SSL, Gateway, DNS, Certificado, Porta ou Autenticação, o arquivo .ovpn deve ser baixado e importado novamente. Muitos problemas aparentes de cliente são perfis desatualizados.

Lista de verificação operacional

Antes do lançamento produtivo

  • FQDN e certificado para Portal VPN e VPN SSL verificados.
  • Intervalo de lease de VPN SSL não colide com redes internas ou redes domésticas típicas.
  • Política de VPN SSL contém os utilizadores ou grupos corretos.
  • Split Tunnel ou Full Tunnel é decidido conscientemente.
  • Recursos de rede permitidos são definidos de forma restrita no Split Tunnel.
  • Servidores DNS e Nome de Domínio estão configurados corretamente.
  • Regra de firewall de VPN para destinos internos existe e faz logging.
  • No Full Tunnel, existem regra de Internet e SNAT.
  • Device Access para SSL VPN e VPN Portal é configurado conscientemente.
  • MFA é testado para Acesso Remoto.
  • Utilizador de teste pode baixar, importar o perfil e acessar destinos internos.

Para operação contínua

  • Impor MFA para Portal VPN e Acesso Remoto.
  • Verificar grupos de VPN regularmente.
  • Manter regras de firewall para VPN restritas e fazer logging.
  • Verificar intervalo de lease antes de alterações de rede.
  • Usar endereços IP estáticos de VPN SSL apenas de forma direcionada e verificar regularmente.
  • Documentar DNS e domínio de pesquisa.
  • Renovar certificados de Portal e VPN SSL antes do vencimento.
  • Acompanhar versões do Sophos Connect.
  • Planejar redistribuição de perfil após alterações.
  • Avaliar logs a longo prazo através de Syslog ou Sophos Central, se a rastreabilidade for importante.

Para logs e serviços, consulte Resolução de Problemas no Sophos Firewall: Serviços e Logs.

Verificar casos especiais regularmente

  • Endereços IP estáticos de VPN SSL são justificados e documentados.
  • Tempo de vida da chave é adequado ao modelo operacional e foi testado com reconexão.
  • Perfil .ovpn antigo é redistribuído após alterações.
  • Portal VPN, User Portal, WAF e VPN SSL não colidem na mesma WAN-IP com porta e protocolo.
  • Utilizadores com direitos especiais ou acesso administrativo são verificados separadamente.

FAQ

Onde se configura o VPN SSL no Sophos Firewall?

A configuração central está em Remote access VPN > SSL VPN. Lá, são configuradas políticas e configurações globais de VPN SSL. Portal, autenticação, MFA e Device Access estão em áreas separadas.

É necessário criar uma regra de firewall para VPN SSL?

Sim. O estabelecimento do túnel ainda não permite acesso a sistemas internos. O tráfego da zona VPN deve ser permitido através de regras de firewall para as zonas de destino, redes de destino e serviços necessários.

O que é melhor: Split Tunnel ou Full Tunnel?

O Split Tunnel é frequentemente mais eficiente e simples quando apenas alguns destinos internos são necessários. O Full Tunnel encaminha todo o tráfego pelo firewall e requer regras adicionais, SNAT, políticas de segurança e planejamento de capacidade.

Por que um utilizador não vê a configuração VPN no Portal VPN?

Geralmente, o utilizador ou seu grupo está ausente em uma política de VPN SSL de acesso remoto. Além disso, devem ser verificadas autenticação, MFA, acessibilidade do Portal VPN e Device Access.

Por que o VPN SSL conecta, mas os sistemas internos não são acessíveis?

Frequentemente, faltam regras de firewall, a rota não foi configurada no endpoint, o DNS não funciona, o intervalo de lease colide com uma rede local ou o perfil .ovpn está desatualizado.

Por que um utilizador de VPN SSL precisa se reconectar após algumas horas?

Se a autenticação local e um endereço IP de VPN SSL estático forem usados, a reautenticação após o término do tempo de vida da chave pode ser afetada. Deve-se verificar atribuição de IP estática, tempo de vida da chave, sslvpn.log e um teste com atribuição de IP dinâmica.

Quais logs ajudam em problemas de VPN SSL?

No WebAdmin, o Log Viewer e o Packet Capture ajudam. No lado do firewall, dependendo do erro, sslvpn.log, openvpn-status*.log e logs de firewall são relevantes. Para armazenamento prolongado, deve-se planejar Syslog ou avaliação central de logs.