Hoppa till innehållet
Avanet

Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning är rätt?

Sophos Firewall erbjuder flera vägar för fjärråtkomst. I äldre miljöer hittar man ofta fortfarande den klassiska SSL VPN-klienten eller gamla IPsec-profiler. I nuvarande SFOS-versioner är Sophos Connect den centrala klienten för många scenarier för fjärråtkomst, men passformen varierar beroende på plattform, protokoll och driftsmodell.

Den här beslutsguiden visar när Sophos Connect med IPsec, Sophos Connect med SSL VPN, en OpenVPN-kompatibel klient eller ZTNA är vettigt. För miljöer med SFOS 22.0 MR1 är det också viktigt: Legacy Remote Access IPsec får inte längre lämnas som ett arv. Migreringen beskrivs i artikeln Migrera äldre fjärråtkomst IPsec före SFOS 22 MR1.

Vilken VPN-artikel passar?

Fjärråtkomst och Site-to-Site VPN är konfigurerade på olika platser i Sophos Firewall. Det första som är viktigt för administratörer är om det gäller användaråtkomst, webbplatsnätverk, klientdrift, identitet eller felsökning.

Kort beslutsstöd

  • Windows-klienter med central distribution: Sophos Connect med IPsec eller SSL VPN.
  • macOS-klienter från Sophos Connect 2.0: Sophos Connect med IPsec eller SSL VPN, beroende på brandväggskonfiguration.
  • Windows ARM: Sophos Connect från version 2.5.
  • iOS, iPadOS, Android eller andra mobila plattformar: OpenVPN-kompatibla klient- eller operativsystems inbyggda resurser, beroende på protokollet.
  • Utländska nätverk med blockerad IPsec: Kontrollera SSL VPN eller ZTNA.
  • Tillgång endast till enskilda applikationer: Kontrollera ZTNA eller klientlös åtkomst.
  • Legacy Remote Access IPsec före SFOS 22 MR1: Migrera och ta bort. Tabellen är medvetet förenklad. I praktiken är det inte bara klienten som bestämmer utan även autentiseringsmodellen, MFA, användarnas nätverksmiljö, de interna målen som krävs och hur profiler distribueras och uppdateras.

Plattforms- och profilgränser

Innan du fattar ett beslut bör du inte bara fråga “IPsec eller SSL VPN”. Lika viktigt är om den önskade plattformen stöder lämplig profiltyp och önskad distribution.

  • Windows 10/11 64-bitars: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: ja; Provisionsfil: ja.
  • Windows ARM: Sophos Connect IPsec: från Sophos Connect 2.5; Sophos Connect SSL VPN: från Sophos Connect 2.5; Provisionsfil: från Sophos Connect 2.5.
  • macOS Intel: Sophos Connect IPsec: ja; Sophos Connect SSL VPN: från Sophos Connect 2.0; Provisionsfil: nej.
  • macOS Apple Silicon: Sophos Connect IPsec: ja, via Rosetta 2; Sophos Connect SSL VPN: från Sophos Connect 2.0, via Rosetta 2; Provisionsfil: nej.
  • iOS, iPadOS, Android: Sophos Connect IPsec: inte med Sophos Connect; Sophos Connect SSL VPN: inte med Sophos Connect; Provisionsfil: inte med Sophos Connect.
  • Gamla 32-bitars Windows-klienter: endast äldre Sophos Connect-versioner till och med 2.4 stöder fortfarande 32-bitars Windows. Aktuella driftsättningar bör planeras med 64-bitars Windows.

För macOS betyder detta praktiskt taget: Sophos Connect kan nu använda SSL VPN, men inte med samma provisioneringslogik som Windows. Profiler måste avsiktligt importeras och återställas efter relevanta ändringar. För mobila plattformar förblir Sophos Connect inte den direkta klienten; Beroende på protokollet krävs OpenVPN-kompatibla appar eller operativsystemfunktioner.

Sophos Connect med IPsec

Sophos Connect med IPsec är ofta förstahandsvalet när klassiska klient-VPN:er behövs för Windows- eller macOS-enheter. IPsec är vanligtvis högpresterande och lämpar sig väl för hanterade företagskunder där profiler kan distribueras på ett kontrollerat sätt.

Fördelar:

  • bra prestanda i många miljöer
  • lämplig för hanterade Windows- och macOS-klienter
  • Centrala brandväggsregler är möjliga via VPN-zonen
  • tydlig åtskillnad mellan fjärråtkomst och plats-till-plats VPN
  • användbar om Sophos Connect ändå används som standardklient

Gränser:

  • IPsec kan blockeras på hotell, gästnätverk, mobilnätverk eller strikt filtrerade tredjepartsnätverk.
  • Profiler och användaruppdrag måste underhållas ordentligt.
  • Efter ändringar av pooler, DNS eller målnätverk måste klienterna testas om.
  • Legacy Remote Access IPsec ska inte förväxlas med den aktuella Remote Access IPsec-konfigurationen.

För installation på brandväggen är Configurera Sophos Connect Client for Sophos Firewall lämplig anslutningsartikel.

Sophos Connect med SSL VPN

Sophos Connect kan också använda SSL VPN-anslutningar. Detta har varit aktuellt på Windows länge och sedan Sophos Connect 2.0 har Sophos även stött SSL VPN på macOS. Detta är särskilt viktigt eftersom äldre Avanet- och Sophos Connect-instruktioner delvis går tillbaka till en tid då macOS med Sophos Connect bara kunde göra IPsec.

Fördelar:

  • ofta bättre användbar i restriktiva tredjepartsnätverk än IPsec
  • Windows och macOS stöds med aktuella Sophos Connect-versioner
  • OpenVPN-teknik är lätt att förstå i drift
  • är vettigt om befintliga SSL VPN-processer redan är etablerade

Gränser:

  • Prestanda och skalning beror mer på apparat, protokoll, kryptering och belastning.
  • Användarprofiler och certifikat måste hanteras korrekt.
  • Gamla SSL VPN-klienter och gamla OpenVPN-versioner ska inte användas utan kontroll.
  • Mobila enheter använder fortfarande vanligtvis andra OpenVPN-kompatibla klienter.

Konfigurationen på brandväggssidan är i Konfigurera Sophos Firewall SSL VPN Remote Access. För Windows finns steg-för-steg-guiden Konfigurera Sophos SSL VPN med Sophos Connect för Windows. För macOS bör du kontrollera den aktuella Sophos Connect-versionen för nya installationer eftersom plattformsstödet ändrades 2026. Lämplig driftsartikel för detta är kontroller och uppdatering Sophos Connect-klientversioner tillgängliga för mer information.

OpenVPN-klienter och mobila plattformar

Sophos Connect stöder inte direkt alla plattformar. Mobila plattformar som iOS och Android omfattas inte direkt av Sophos Connect för IPsec och SSL VPN. I sådana fall, beroende på protokollet, används operativsystemets inbyggda resurser eller OpenVPN-kompatibla klienter.

Detta är ingen nackdel om processen är tydligt dokumenterad. Det blir bara problematiskt när användare använder olika appar, gamla profiler och oklara instruktioner. Följande bör därför vara tydligt definierade för mobila enheter:

  • vilket protokoll som används
  • vilken app som stöds
  • varifrån konfigurationsfilen kommer
  • hur MFA eller certifikat fungerar
  • vem som stöder enhetsändringar

Specifika instruktioner finns tillgängliga för Sophos SSL VPN med Sophos Connect på Windows, Sophos SSL VPN med Sophos Connect på macOS, Sophos SSL VPN på iPhone och iPad och Sophos SSL VPN på Android.

Profildistribution och uppdateringar

Fjärråtkomstproblem uppstår ofta inte från den valda tunneltypen, utan från gamla profiler. Om gatewayen, certifikatet, DNS, användargruppen, IP-poolen, portalen eller provisioneringsfilen ändras bör du aktivt rensa upp profilinventeringen.

Praktiska regler:- Spåra Sophos Connect-versioner centralt.

  • Distribuera inte .scx, .tgb, .ovpn och .pro filer parallellt på ett okontrollerat sätt.
  • Med .pro-provisioning får klienten konfigurationen automatiskt, men de faktiska SSL VPN-gateways kommer fortfarande från den importerade SSL VPN-konfigurationen och kan skilja sig från portaladressen.
  • För SSL VPN, kontrollera om användare kan ladda ner nya konfigurationer via Update policy i User Portal eller om profilen måste distribueras manuellt på nytt.
  • Skilj medvetet mellan filtyperna: .scx används normalt för Sophos Connect IPsec-profiler, .tgb för IPsec-profiler för vissa tredjeparts- eller mobilklienter, .ovpn för SSL VPN-konfigurationer och .pro för Windows-provisioning.
  • Skilj medvetet mellan filtyperna: .scx används typiskt för Sophos Connect IPsec-profiler, .tgb för IPsec-profiler för vissa tredjeparts- eller mobilklienter, .ovpn för SSL VPN-konfigurationer och .pro för Windows-provisioning.
  • Håll profilnamn unika, särskilt för flera platser.
  • Schemalägg en ny import efter ändringar av SSL VPN eller IPsec.
  • Testa Windows, macOS och mobila klienter separat.
  • Ta bort gamla profiler när du lämnar, byter enhet eller migrerar.

En ny import är inte bara relevant efter brandväggsändringar. Klientuppdateringar kan också ändra beteende, till exempel när sparade inloggningsuppgifter, profilalternativ eller nya klientfunktioner fungerar korrekt först efter att konfigurationen importerats igen. Därför bör Update policy, ny import och helpdesk-kommunikation testas före större utrullningar.

Den operativa processen för klientuppdateringar finns i Kontroller och uppdatering Sophos Connect klientversioner finns tillgängliga här.

När ZTNA passar bättre

Inte alla fjärråtkomstfall behöver en klassisk VPN. När användare bara behöver komma åt enskilda webbapplikationer eller definierade interna tjänster är ZTNA ofta den renare arkitekturen. Klienten får då inte generell nätverksåtkomst, utan endast åtkomst till de applikationer den kräver.

ZTNA är särskilt lämplig om:

  • ingen fullständig nätverkstillgänglighet krävs
  • externa användare använder endast enskilda applikationer
  • Åtkomsten bör knytas närmare till identitet, enhet och policy
  • VPN-reglerna har vuxit historiskt och blivit för breda

ZTNA ersätter inte alla VPN. En klassisk VPN kan fortfarande vara nödvändig för administratörsåtkomst, många protokoll, speciell programvara eller komplexa nätverksvägar. För att komma igång, använd Sophos ZTNA Gateway-kontakt.

Säkerhet och drift

Oavsett vilken klient som väljs förblir de operativa frågorna likartade. Fjärråtkomst är en allmänt tillgänglig ingång till nätverket och ska inte bara fungera tekniskt, utan också drivas rent.

Viktiga punkter:

  • Aktivera och testa MFA för fjärråtkomst.
  • Kontrollera i Sophos Connect om MFA-metoden passar klienten. Challenge-baserade OTP-metoder fungerar inte på samma sätt som User Portal eller WebAdmin; Sophos Connect arbetar med lösenord plus OTP eller call-/push-baserade flöden.
  • Kontrollera användargrupper regelbundet.
  • Släpp bara nödvändiga målnätverk och tjänster.
  • Namnge och logga brandväggsreglerna tydligt för zonen VPN.
  • Ta bort VPN-profiler när du lämnar eller byter enhet.
  • Rensa upp gamla äldre konfigurationer före SFOS 22.0 MR1.
  • Använd loggvisaren och centrala loggar för inloggnings- och anslutningsfel.

Konfigurera Sophos Firewall MFA är lämplig för MFA. Om anslutningar upprättas men ingen trafik flyter kan Sophos Firewall IPsec VPN-felsökning och Testa brandväggsregler med Log Viewer, Policy Test och Packet Capture hjälpa.

Om VPN Portal, User Portal eller SSL VPN kan nås från Internet, bör du också markera Device Access och Local Service ACL. Fjärråtkomst är inte bara ett klientproblem, utan också en allmänt tillgänglig brandväggstjänst.

Vanliga frågor

Är Sophos Connect efterträdaren till den gamla SSL VPN-klienten?

För många Windows- och macOS-scenarier är Sophos Connect nu den centrala Sophos-klienten. Ändå kan OpenVPN-kompatibla klienter fortfarande vara användbara, särskilt på mobila plattformar eller i speciella fall.

Stöder Sophos Connect SSL VPN på macOS?

Ja. Sedan Sophos Connect 2.0 kan Sophos Connect-klienten på macOS också använda Remote Access SSL VPN. För att göra detta måste klientversionen, brandväggsversionen och konfigurationen matcha.

Är IPsec snabbare än SSL VPN?

Ofta ja, men inte över hela linjen. IPsec är ofta mer presterande, medan SSL VPN presterar bättre i restriktiva tredjepartsnätverk. De avgörande faktorerna är apparat, klient, nätverksväg, kryptering och det specifika åtkomstmönstret.

Hur är det med Windows ARM?

Sophos Connect stöder Windows ARM från version 2.5. För äldre klientversioner eller gamla interna mjukvarupaket bör du därför kontrollera vilken version som faktiskt distribueras.

När är ZTNA bättre än klassisk VPN?

ZTNA är ofta bättre när användare bara behöver enskilda applikationer och bred nätverksåtkomst inte krävs. Klassisk VPN förblir användbar för många protokoll, administratörsåtkomst, speciell programvara eller komplexa nätverksvägar.

Vad bör kontrolleras före SFOS 22.0 MR1?

Innan SFOS 22.0 MR1 måste det kontrolleras om Legacy Remote Access IPsec fortfarande existerar. Denna gamla konfiguration blockerar uppgraderingen och bör migreras eller tas bort i förväg.