Konfigurera Sophos SSL VPN med Sophos Connect på macOS
SSL VPN på macOS brukade ofta ställas in med Tunnelblick eller andra OpenVPN-klienter. Detta är fortfarande möjligt, men är inte längre det enda uppenbara alternativet: Sedan Sophos Connect 2.0 stöder Sophos även Remote Access SSL VPN på macOS.
Artikeln beskriver den nuvarande standardvägen med Sophos Connect på macOS och klassificerar Tunnelblick som ett alternativ. När du väljer mellan Sophos Connect, SSL VPN, IPsec, mobila klienter och ZTNA, är det första som passar Sophos Connect eller SSL VPN: Vilka råd finns tillgängliga?.
Vilken macOS VPN-artikel passar?
Dessa instruktioner gäller Sophos Firewall med SFOS och SSL VPN på macOS. Beroende på uppgiften är ett annat tillvägagångssätt lämpligt:
- Installera Sophos Connect generellt på macOS: Installera Sophos Connect Client på macOS.
- Konfigurera SSL VPN på brandväggssidan: Konfigurera Sophos Firewall SSL VPN Remote Access.
- Konfigurera SSL VPN på macOS med Sophos Connect: Denna artikel.
- Konfigurera SSL VPN på Windows: Konfigurera Sophos SSL VPN med Sophos Connect för Windows.
- Konfigurera SSL VPN på iPhone, iPad eller Android: iPhone/iPad eller Android.
- Underhåll Sophos Connect-klientversioner och profiler: Kontrollera och uppdatera Sophos Connect-klientversioner är tillgängliga.
- VPN är anslutet men trafiken fungerar inte: Testa brandväggsregler med Log Viewer, Policy Test och Packet Capture.
Mobila plattformar som iOS och Android stöds inte direkt av Sophos Connect för IPsec och SSL VPN. OpenVPN-kompatibla klienter eller operativsystemfunktioner förblir relevanta där.
Krav
- Sophos Firewall med SSL VPN-fjärråtkomstkonfiguration inställd
- Användare auktoriserade för SSL VPN
- Tillgång till VPN-portalen eller en administrativt tillhandahållen
.ovpn-fil - Sophos Connect 2.0 eller senare
- macOS Ventura 13 eller senare med Sophos Connect 2.0+
- Mac med Intel-processor eller Apple Silicon via Rosetta 2
- MFA/OTP-inställning om fjärråtkomst är skyddad med det
- Brandväggsregler för trafik från
VPN-zonen
Om SSL VPN-konfigurationen på brandväggssidan ännu inte är på plats, bör Konfigurera Sophos Firewall SSL VPN Remote Access implementeras först.
Innan du uppgraderar SFOS 22 MR1 bör du också kontrollera om gamla IPsec-konfigurationer för fjärråtkomst fortfarande finns. SSL VPN påverkas inte direkt av detta, men många miljöer omvärderar fjärråtkomst för närvarande. Processen är i Migrera äldre fjärråtkomst IPsec för SFOS 22 MR1.
Sophos Connect eller Tunnelblick?
För nya macOS-utrullningar bör Sophos Connect kontrolleras först eftersom Sophos Connect är Sophos egen klient och har stöd för SSL VPN på macOS sedan version 2.0. Tunnelblick förblir ett OpenVPN-alternativ, men bör inte dyka upp som en andra oplanerad standard.
- Sophos Connect: hanterade Mac-datorer, enhetlig supportprocess, nuvarande SFOS-miljö. Version, macOS-krav, Rosetta 2 hos Apple Silicon och nuvarande
.ovpn-profil. - Tunnelblick eller annan OpenVPN-klient: befintlig OpenVPN-process, specialfall, avsiktlig avvikelse från Sophos Connect. Dokumentera tydligt OpenVPN-version, profilunderhåll, DNS-beteende och supportansvar.
Klientnamnet är mindre viktigt än operationen: det ska vara tydligt vilken klient som stöds, vilken version som distribueras, var profilen kommer ifrån och när användare behöver importera en ny profil.
1. Distribuera Sophos Connect för macOS
Sophos Connect kan distribueras via Sophos Firewall, VPN Portal eller Sophos nedladdningssida beroende på din miljö. I hanterade miljöer bör det vara tydligt vilken klientversion som rullas ut och om Rosetta 2 finns på Apple Silicon-enheter.
SSL VPN på macOS kräver Sophos Connect 2.0 eller senare. Äldre interna instruktioner eller installationspaket bör därför inte användas utan att kontrollera dem. Sophos Connect 2.0 MR1 ger flera macOS-specifika korrigeringar, inklusive DNS-inställningar för SSL VPN-anslutningar och möjligheten att spara referenser. Efter en uppgradering måste profilen återimporteras om detta alternativ ska användas.
2. Skaffa OVPN-konfiguration
SSL VPN-konfigurationen tillhandahålls som en .ovpn-fil. Beroende på operativ modell laddar användarna ner dem från VPN-portalen eller tar emot dem kontrollerade via adminprocessen.
Typisk process i VPN-portalen:
- Öppna VPN-portalen för Sophos-brandväggen.
- Logga in med VPN-användaren.
- Växla till området
VPN. - Ladda ner SSL VPN-konfiguration för profilen.
- Förvara
.ovpn-filen säkert och använd den endast för den auktoriserade användaren.
Om webbläsaren varnar för portalens certifikat bör orsaken kontrolleras. I produktiva miljöer är ett giltigt certifikat för VPN-portalen renare än ett beständigt webbläsarundantag. Device Access and Local Service ACL on Sophos Firewall är lämplig för härdning.
Efter eventuella ändringar av gatewayen, porten, certifikatet, DNS, leasingintervallet, autentiseringen eller SSL VPN-policyn bör profilen laddas ner igen och importeras. En klientuppdatering ensam uppdaterar inte en gammal .ovpn-profil.
3. Importera anslutning till Sophos Connect
Öppna Sophos Connect och importera filen .ovpn. Anslutningen ska då visas i anslutningslistan. Om du har flera profiler är det viktigt att ha ett unikt namn så att användare och support inte råkar använda fel profil.
Om importen inte fungerar kontrollerar du först klientversionen, filtypen och ursprunget för konfigurationsfilen. SSL VPN på macOS kräver Sophos Connect 2.0 eller senare.
4. Upprätta en VPN-anslutning
Välj den importerade anslutningen och klicka på Connect. Logga sedan in med VPN-användaren. Om MFA eller OTP är aktiv måste den andra faktorn bekräftas enligt brandväggskonfigurationen.
Efter att anslutningen har upprättats ska inte bara statusen i klienten kontrolleras. Det avgörande är om de interna mål som krävs kan uppnås.
Kontrollera efter installation
Åtminstone dessa punkter bör kontrolleras med en testanvändare:
- Sophos Connect visar anslutningen som ansluten.
- Användaren får en IP-adress från den förväntade SSL VPN-poolen.
- Interna DNS-namn löses korrekt.
- Obligatoriska servrar och applikationer är tillgängliga.
- Internetbeteende motsvarar designen: delad tunnel eller full tunnel.
- Den förväntade brandväggsregeln för trafik från
VPN-zonen är synlig i loggvisaren. - MFA efterfrågas som planerat.
- Frånkoppling och återinloggningsarbete.
Om anslutningen upprättas men ingen åtkomst fungerar är orsaken ofta inte klienten, utan snarare brandväggsregler, DNS, routing eller NAT. Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture är lämplig för analysen.
Acceptanstest på macOS
Efter installationen bör du dokumentera ett riktigt testfall, inte bara den gröna klientens status.
- Kontrollera Sophos Connect-versionen: Klientversion matchar macOS-version och SSL VPN-stöd.
- Testa Apple Silicon: Rosetta 2 är tillgänglig och klienten startar tillförlitligt.
- Kontrollera profilimport: Profilen
.ovpnkommer från den aktuella brandväggskonfigurationen. - Testa MFA: Inloggning med rätt och fel faktor beter sig begripligt.
- Testa DNS: Interna namn löser sig korrekt, inte bara IP-adresser.
- Teståtkomst: Tillåtna mål fungerar, obehöriga mål förblir blockerade.
- Kontrollera Loggvisare: Trafik från
VPN-zonen träffar den förväntade brandväggsregeln. - Testa återanslut: Att koppla från och återansluta fungerar utan att byta profil.
Om flera macOS-versioner används i företaget bör minst en Intel Mac och en Apple Silicon Mac testas. För blandade klienter bör du också kontrollera att Sophos Connect och Tunnelblick inte använder olika profiler eller DNS-resultat.
Alternativ: Tunnelblick eller annan OpenVPN-klient
Tunnelblick kan fortfarande vara användbart om Sophos Connect inte ska användas eller om en befintlig OpenVPN-process avsiktligt behålls. Denna variant bör dock dokumenteras som en separat driftstandard så att Sophos Connect, Tunnelblick och gamla profiler inte är i omlopp samtidigt.
Med Tunnelblick importeras filen .ovpn. Därefter måste OpenVPN-version, profil, användarinloggning och DNS-beteende kontrolleras. Gamla ramspecifikationer för en specifik OpenVPN-version bör inte användas utan att kontrollera; De avgörande faktorerna är den aktuella brandväggsversionen, klientversionen och den specifika profilen.
Drift och säkerhet
SSL VPN är en allmänt tillgänglig fjärråtkomsttjänst. Det är därför du inte bara ska dokumentera installationen, utan även operationen:
- Uppdatera Sophos Connect eller OpenVPN-klient regelbundet.
- Aktivera och testa MFA för fjärråtkomst.
- Kontrollera VPN-grupper regelbundet.
- Begränsa portalåtkomst via Device Access och Local Service ACL där det är möjligt.
- Håll brandväggsreglerna strikta för
VPN-zonen och loggen. - Ta bort gamla
.ovpn-filer och föråldrade profiler. - Om loggar lagras under en längre tid, planera för syslog eller central utvärdering.
För MFA-grunderna passar Aktivera MFA för Sophos Firewall WebAdmin, VPN-portal och fjärråtkomst. För loggfiler och tjänsteloggar är Sophos Firewall Felsökning: Tjänster och loggar till hjälp.
checklista för utrullning av macOS
- Standardklient som stöds är definierad: Sophos Connect eller avsiktligt en OpenVPN-klient.
- Sophos Connect-versionen är lämplig för macOS Ventura 13 eller senare.
- Apple Silicon-enheter har inkluderat Rosetta 2 i lanseringen.
- Profilen
.ovpnkommer från den aktuella SSL VPN-konfigurationen. - VPN-portalen använder ett giltigt certifikat.
- Användaren ingår i rätt SSL VPN-policy.
- MFA-beteende dokumenteras och testas med en testanvändare. – DNS, sökdomän och interna målsystem testades på macOS.
- Brandväggsregler för
VPNzonloggtesttrafik. – Efter profiländringar är det klart vem som ska informera användarna om den nya importen.
Felsökning
Sophos Connect importerar inte OVPN-filen
Först bör du kontrollera om Sophos Connect 2.0 eller nyare är installerad och om filen verkligen kommer från den aktuella SSL VPN-konfigurationen. Ladda sedan om filen från VPN-portalen eller distribuera om den administrativt.
Interna namn löses inte
Kontrollera DNS-servrar, sökdomäner och SSL VPN-konfiguration på brandväggen. För Sophos Connect på macOS bör klientstatusen också kontrolleras eftersom Sophos fixade ett DNS-problem med SSL VPN-anslutningar på macOS i version 2.0 MR1.
Om IP-adresser fungerar men namn inte gör det är det ett DNS- eller sökdomänproblem. Om IP-adresser inte heller fungerar är routing, brandväggsregler eller returväg mer sannolikt.
Anslutning är upprättad, men interna system kan inte nås
Kontrollera brandväggsregler, routing, NAT och returväg. Trafik från VPN-zonen ska vara synlig i loggvisaren. Om inga loggar visas, når trafiken förmodligen inte den förväntade regeln eller så är loggning inaktiverad.
Om små åtkomster fungerar, men större filöverföringar eller vissa applikationer hänger sig, bör MTU/MSS också kontrolleras: Controller Sophos Firewall MTU and MSS for VPN problem.
Anslutningen fungerar inte längre efter profilbyte
Efter ändringar av gatewayen, certifikatet, porten, DNS, leasingintervallet eller autentiseringen ska .ovpn-profilen återimporteras. Om bara klienten har uppdaterats men en gammal profil fortfarande används, kan gamla destinationer, portar eller DNS-värden fortfarande användas.
Spara åtkomstdata är inte synligt
Sophos har återaktiverat alternativet att spara referenser i Sophos Connect 2.0 MR1 för macOS. Efter uppdateringen måste konfigurationen återimporteras så att alternativet kan användas. I miljöer med MFA bör du ändå kontrollera om lagring av åtkomstdata passar med säkerhetskonceptet.
Anslutningsavbrott i främmande nätverk
SSL VPN är ofta mer tolerant än IPsec, men är inte immun mot restriktiva nätverk, captive-portaler, proxytvång eller instabila WLAN. Testa i sådana fall med ett andra nätverk och kontrollera om delad tunnel, port, protokoll eller ZTNA passar bättre.
Samla supportdata
Om felet inte syns direkt bör du dokumentera klientloggar, tid, användare, källnätverk och målsystem. På brandväggssidan hjälper Log Viewer, sslvpn.log, openvpn-status*.log och lämplig brandväggsregel parallellt. Tilldelningen av loggfilerna finns i Sophos Firewall Felsökning: Tjänster och loggar.