Saltar para o conteudo
Avanet

Configurar Sophos SSL VPN em Android

Sophos Firewall

O Sophos Connect não suporta diretamente Android para IPsec ou SSL VPN. Se um smartphone ou tablet Android precisar se conectar via Sophos Firewall Remote Access, será necessário um cliente compatível com OpenVPN. Em muitos ambientes, o OpenVPN Connect é o padrão mais lógico, pois o Sophos Firewall fornece uma configuração .ovpn para clientes móveis.

Este artigo descreve o processo prático para o Sophos SSL VPN em Android: instalar o aplicativo, obter a configuração .ovpn, importar o perfil, testar a conexão e delimitar erros comuns. Para a decisão básica entre Sophos Connect, SSL VPN, IPsec, clientes móveis e ZTNA, consulte primeiro Sophos Connect ou SSL VPN: Qual solução de acesso remoto é a melhor?.

Quando o SSL VPN em Android é útil

O SSL VPN em Android é útil quando usuários móveis precisam acessar ocasionalmente sistemas internos e um perfil VPN clássico é suficiente.

Exemplos típicos:

  • Acesso a aplicações web internas
  • Acesso administrativo a poucos sistemas via tablet
  • Acesso a ferramentas internas através de aplicativos definidos
  • Acesso temporário sem cliente notebook gerenciado
  • Solução de transição quando ZTNA ou proxy de aplicativos ainda não estão disponíveis

Para acesso contínuo a muitos sistemas internos, um dispositivo móvel geralmente não é a melhor plataforma de destino. Nesse caso, deve-se considerar se um cliente gerenciado Windows ou macOS com Sophos Connect, um acesso ZTNA mais restrito ou outro design de acesso remoto é mais adequado.

Comparação com outros clientes

Este guia aplica-se ao Sophos Firewall com SFOS e dispositivos Android. Dependendo da plataforma ou situação inicial, outra abordagem pode ser mais adequada:

SituaçãoAbordagem adequada
Configurar SSL VPN em AndroidEste artigo
Configurar SSL VPN com Sophos Connect em WindowsConfigurar Sophos SSL VPN com Sophos Connect em Windows
Configurar SSL VPN com Sophos Connect em macOSConfigurar Sophos SSL VPN com Sophos Connect em macOS
Configurar SSL VPN em iPhone e iPadConfigurar Sophos SSL VPN em iPhone e iPad
Instalar Sophos Connect em WindowsInstalar Sophos Connect Client em Windows
Instalar Sophos Connect em macOSInstalar Sophos Connect Client em macOS

É importante distinguir: o Sophos Connect não é o cliente SSL VPN direto para Android. Se dispositivos móveis devem ser suportados, deve-se definir internamente qual cliente compatível com OpenVPN será usado, de onde vêm os perfis e quem oferece suporte em caso de troca de dispositivos.

Pré-requisitos

Antes de configurar, os seguintes pontos devem ser esclarecidos:

  • Sophos Firewall com configuração de acesso remoto SSL VPN configurada
  • Usuário com permissão para SSL VPN
  • Acesso ao Portal VPN ou arquivo .ovpn fornecido administrativamente
  • Cliente compatível com OpenVPN em Android
  • MFA/OTP configurado, se o acesso remoto for protegido com isso
  • Certificado válido para o Portal VPN e acesso ao firewall, se possível
  • Regras de firewall para tráfego da zona VPN
  • Design de túnel dividido ou túnel completo esclarecido
  • Processo de suporte para troca de dispositivos, dispositivos perdidos e perfis antigos

Antes de uma atualização para SFOS 22.0 MR1 ou posterior, deve-se verificar se ainda existem configurações antigas de acesso remoto IPsec. O SSL VPN não é diretamente afetado, mas muitos ambientes reavaliam o acesso remoto nesse momento. O procedimento está em Migrar acesso remoto IPsec legado antes do SFOS 22 MR1.

Preparar o Firewall e o Portal VPN

A configuração em Android é apenas o último passo. Antes, a configuração do firewall deve estar correta.

No Sophos Firewall, os seguintes pontos devem ser verificados:

  1. Abrir Remote access VPN.
  2. Configurar SSL VPN para os usuários ou grupos necessários.
  3. Usar um pool de IPs VPN sem sobreposição com LAN, WLAN, VLANs, VPNs site-to-site ou redes domésticas típicas.
  4. Configurar servidores DNS e sufixos de domínio adequados, se nomes internos forem usados.
  5. Ativar MFA para acesso remoto e testar com um usuário de teste.
  6. Criar regra de firewall da VPN para a zona de destino necessária.
  7. Ativar o registro para a fase de introdução.
  8. Liberar o Portal VPN através de Administration > Device access apenas conforme necessário.

O procedimento completo do lado do firewall está em Configurar acesso remoto SSL VPN no Sophos Firewall.

O Portal VPN é um ponto de entrada publicamente acessível. Se precisar ser acessível da Internet, o certificado, MFA, restrição de país/origem e verificação de logs devem ser planejados conscientemente. Para o fortalecimento, consulte Device Access e Local Service ACL no Sophos Firewall.

1. Instalar OpenVPN Connect

Instale o OpenVPN Connect a partir do Google Play: OpenVPN Connect.

Se em seu ambiente outro cliente compatível com OpenVPN for padronizado, essa decisão deve ser documentada. Torna-se problemático quando os usuários usam diferentes aplicativos VPN, perfis antigos e instruções variadas em paralelo.

Para suporte e operação, deve-se definir:

  • qual cliente é suportado
  • qual versão do aplicativo é esperada no mínimo
  • se os usuários podem instalar o aplicativo por conta própria
  • como os perfis são distribuídos e retirados
  • como dispositivos perdidos ou substituídos são tratados

2. Abrir o Portal VPN

No dispositivo Android, abra o Portal VPN do Sophos Firewall no navegador e faça login com o usuário VPN. Na maioria dos ambientes, o navegador Android padrão ou Chrome é suficiente. É importante que o arquivo .ovpn baixado possa ser entregue ao OpenVPN Connect.

Se o Portal VPN for aberto com um certificado inválido ou não confiável, a causa deve ser corrigida. Uma exceção de navegador permanente não é um bom padrão operacional para acesso remoto produtivo.

Com MFA, deve-se testar o procedimento com um usuário de teste real. É especialmente importante verificar se o segundo fator é solicitado em um campo separado ou se a senha e o código OTP devem ser inseridos na forma esperada. As bases estão em Ativar MFA para Sophos Firewall WebAdmin, Portal VPN e Acesso Remoto.

3. Baixar a configuração OVPN

No Portal VPN, vá para a seção SSL VPN ou VPN e baixe a configuração para Android/iOS. Dependendo da versão do SFOS e da visualização do portal, o link é chamado algo como Download configuration for Android/iOS.

O arquivo baixado normalmente tem a extensão .ovpn. Este arquivo é específico do usuário e não deve ser compartilhado com outros usuários.

Importante:

  • O arquivo deve vir da configuração atual do firewall.
  • Arquivos antigos de arquivos de e-mail, históricos de bate-papo ou pastas de download não devem ser reutilizados.
  • Após alterações na política SSL VPN, certificado, gateway, DNS ou grupo de usuários, o perfil deve ser recarregado.
  • Se um usuário sair da empresa ou um dispositivo for perdido, o acesso do usuário, a associação ao grupo e a distribuição do perfil devem ser verificados.

4. Importar o perfil no OpenVPN Connect

Se o Android não oferecer automaticamente a importação, o arquivo .ovpn pode ser aberto no OpenVPN Connect através da função de compartilhamento ou importação de arquivos. O OpenVPN Connect exibirá o novo perfil e solicitará permissão para criar uma conexão VPN na primeira configuração.

Esta confirmação do Android é necessária para que o aplicativo possa criar uma conexão VPN. Se a confirmação for negada, o perfil pode aparecer no aplicativo, mas a conexão não pode ser estabelecida corretamente.

Com vários perfis, o nome deve ser claro, por exemplo, com localização, ambiente ou nome da empresa. Vários perfis com nomes quase iguais são uma causa comum de suporte.

5. Estabelecer a conexão VPN

Ative o perfil importado e faça login com o usuário VPN. Se o MFA ou OTP estiver ativo, o segundo fator deve ser confirmado de acordo com a configuração do firewall.

Após a conexão bem-sucedida, não apenas o aplicativo OpenVPN deve ser exibido como conectado. O mais importante é verificar se os destinos internos planejados são acessíveis e se o tráfego atinge a regra correta no firewall.

Verificar após a configuração

Pelo menos estes pontos devem ser verificados com um usuário de teste:

  • O OpenVPN Connect exibe a conexão como conectada.
  • O Android exibe o status VPN na barra de status ou nas configurações de rede.
  • O usuário recebe um endereço IP do pool SSL VPN esperado.
  • Nomes DNS internos são resolvidos corretamente.
  • Servidores, aplicações web ou serviços necessários são acessíveis.
  • O comportamento da Internet corresponde ao design: Túnel Dividido ou Túnel Completo.
  • No Log Viewer, a regra de firewall esperada para tráfego da zona VPN é visível.
  • O MFA é solicitado conforme planejado.
  • Teste novamente a conexão após modo avião, troca de Wi-Fi ou troca de celular.
  • Perfis antigos foram removidos ou claramente marcados como obsoletos.

Se a conexão estiver estabelecida, mas nenhum acesso funcionar, a causa geralmente não está no cliente móvel, mas nas regras de firewall, DNS, roteamento ou NAT. Para análise, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Distribuição manual ou MDM?

Com poucos dispositivos Android, a importação manual via Portal VPN, pasta de downloads e OpenVPN Connect pode ser suficiente. Assim que vários usuários, smartphones gerenciados ou trocas regulares de dispositivos estiverem envolvidos, a distribuição de perfis deve ser planejada conscientemente. Caso contrário, arquivos .ovpn antigos permanecem em downloads, bate-papos, e-mails ou armazenamentos em nuvem privados e são reutilizados em casos de suporte mais tarde.

VarianteÚtil quandoO que deve ser observado
Importação manualpoucos dispositivos, grupo piloto, uso ocasionalinstruções claras, perfil atualizado, teste de MFA e remoção de perfis antigos
Distribuição via MDM ou gerenciamento de endpointdispositivos Android gerenciados, muitos usuários, alterações recorrentesdistribuição de aplicativos, versão do perfil, perda de dispositivos, retirada de perfis antigos e processo de suporte

É importante a retirada. Quando um dispositivo Android é substituído, um usuário sai ou uma política SSL VPN é alterada, não basta fornecer um novo perfil. Perfis antigos, associações a grupos, credenciais armazenadas e cópias de arquivos eventualmente existentes também devem ser verificados.

Operação e segurança

Perfis VPN móveis precisam de regras operacionais claras. Dispositivos Android mudam frequentemente entre Wi-Fi, celular, hotspots e portais cativos. Além disso, dispositivos móveis são mais facilmente perdidos ou substituídos mais rapidamente do que notebooks corporativos clássicos.

Boas práticas:

  • Atualizar regularmente o OpenVPN Connect.
  • Ativar e testar o MFA para acesso remoto.
  • Verificar regularmente os grupos VPN.
  • Limitar o Portal VPN através de Device Access e Local Service ACL, tanto quanto possível.
  • Manter as regras de firewall para a zona VPN restritas e registradas.
  • Remover arquivos .ovpn antigos e perfis obsoletos.
  • Considerar trocas de dispositivos e dispositivos perdidos no processo de suporte.
  • Para armazenamento de logs mais longo, planejar Syslog ou avaliação central.

Para arquivos de log e logs de serviço, Solução de problemas do Sophos Firewall: Serviços e Logs é útil.

Erros comuns

Arquivo OVPN não pode ser aberto

Primeiro, verifique se o OpenVPN Connect está instalado e se o arquivo realmente está no formato .ovpn. Em seguida, baixe novamente o arquivo do Portal VPN ou entregue-o ao OpenVPN Connect através da função de compartilhamento.

Se o arquivo for distribuído via MDM, e-mail ou compartilhamento de arquivos, deve-se verificar se o arquivo foi alterado, renomeado ou bloqueado durante o caminho.

Importação funciona, mas conexão não

Geralmente, a permissão do Android para a configuração VPN não foi concedida corretamente ou o perfil não corresponde à configuração atual do firewall. Exclua o perfil, obtenha novamente o arquivo .ovpn atual e importe novamente.

Falha no login

Verifique usuário, senha, MFA, associação a grupos e servidor de autenticação. Se AD, RADIUS ou Microsoft Entra ID SSO estiverem envolvidos, a autenticação deve ser testada separadamente do VPN. Um problema de login não é automaticamente um problema do OpenVPN.

Conexão estabelecida, mas sistemas internos não são acessíveis

Verifique DNS, regras de firewall, roteamento, NAT e caminho de retorno. No Log Viewer, o tráfego da zona VPN deve ser visível. Se nenhum log aparecer, o tráfego provavelmente não atinge a regra esperada ou o registro está desativado.

Para sistemas internos individuais, geralmente não é o VPN que está com defeito, mas uma regra de firewall ausente, um nome DNS incorreto ou uma rota de retorno na rede de destino.

Se pequenos acessos funcionam, mas transferências de arquivos maiores ou certas aplicações travam, deve-se verificar adicionalmente MTU/MSS: Verificar MTU e MSS do Sophos Firewall em problemas de VPN.

Nomes internos não são resolvidos

Verifique o servidor DNS e o domínio de pesquisa na configuração SSL VPN. Em seguida, teste se os sistemas internos são acessíveis por endereço IP. Se o IP funcionar, mas o nome não, a causa provavelmente está no DNS, não na conexão VPN em si.

Conexão cai ao mudar de rede

Em dispositivos móveis, mudanças de Wi-Fi, mudanças de celular, portais cativos e mecanismos de economia de energia são causas típicas. Teste com uma segunda rede e verifique se o comportamento é reproduzível.

Se os usuários mudarem frequentemente de rede, deve-se verificar se a aplicação pode lidar com interrupções curtas de VPN ou se outro modelo de acesso é mais adequado.

Lista de verificação

Antes do lançamento

  • Cliente OpenVPN suportado definido.
  • Grupo de usuários SSL VPN verificado.
  • MFA para acesso remoto testado.
  • Portal VPN acessível com certificado válido.
  • Device Access e acesso da Internet conscientemente limitado.
  • Regras de firewall para a zona VPN criadas e registradas.
  • Túnel Dividido ou Túnel Completo documentado.
  • Distribuição de perfis e processo de troca de dispositivos esclarecidos.

Após a importação

  • Perfil visível no OpenVPN Connect.
  • Permissão VPN do Android confirmada.
  • Conexão estabelecida com usuário de teste.
  • DNS, destinos internos e correspondência de regras de firewall verificados.
  • Wi-Fi, celular e troca de rede testados.
  • Perfis antigos removidos.

Em operação

  • Manter o aplicativo OpenVPN e Android atualizados.
  • Verificar regularmente os grupos de usuários.
  • Remover perfis antigos em caso de saída ou perda de dispositivos.
  • Verificar logs de VPN em casos de suporte cedo.
  • Em caso de problemas móveis recorrentes, considerar ZTNA ou acesso baseado em aplicativos.

FAQ

O Sophos Connect suporta SSL VPN em Android?

Não. O Sophos Connect não suporta diretamente Android para IPsec e SSL VPN. Em Android, é usado um cliente compatível com OpenVPN.

É necessário usar o OpenVPN Connect?

Não necessariamente. No entanto, o OpenVPN Connect é um padrão comum para perfis OpenVPN em Android. Se outro cliente for usado, ele deve ser claramente documentado e suportado internamente.

O MFA funciona com SSL VPN em Android?

Sim, se o MFA estiver corretamente configurado no Sophos Firewall para acesso remoto. Dependendo da configuração, o segundo fator é processado no login ou através da entrada de senha.

O SSL VPN em Android é melhor que o IPsec?

Não de forma geral. O SSL VPN é frequentemente prático quando perfis OpenVPN já estão estabelecidos. Para alguns ambientes, outro design de acesso remoto com IPsec, ZTNA ou acesso baseado em aplicativos pode ser mais adequado.

Por que a conexão funciona, mas nenhuma aplicação interna?

Então, o túnel é apenas uma parte da verificação. Frequentemente faltam regras de firewall, resolução de DNS, roteamento ou caminhos de retorno. No Log Viewer, deve-se verificar se o tráfego da zona VPN atinge a regra esperada.