Hoppa till innehållet
Avanet

Konfigurera Sophos Firewall Remote Access i Linux

För Windows och macOS finns det med Sophos Connect en egen klient för IPsec och SSL VPN. För Linux erbjuder Sophos ingen egen Sophos Connect-klient. Den som vill ansluta till Sophos Firewall Remote Access i Linux använder istället standardverktyg: den vanliga OpenVPN-klienten för SSL VPN eller NetworkManager med strongSwan-pluginet för IPsec.

Den här artikeln beskriver båda vägarna och förklarar när vilken väg är lämplig. För det grundläggande valet mellan IPsec och SSL VPN passar först Sophos Connect eller SSL VPN: vilken Remote Access-lösning passar?. För den brandväggssidiga konfigurationen av SSL VPN Remote Access är konfigurera Sophos Firewall SSL VPN Remote Access den passande grunden.

Jämförelse med andra klienter

Linux är alltså inget specialfall i negativ bemärkelse, utan följer samma mönster som mobila plattformar: istället för en tillverkarspecifik klient används etablerade standardverktyg som arbetar med den konfigurationsfil som brandväggen tillhandahåller.

Förutsättningar

  • Sophos Firewall med konfigurerad SSL VPN Remote Access eller IPsec Remote Access.
  • Användarkonto med VPN-behörighet och, om aktiverat, fungerande MFA.
  • För SSL VPN: OpenVPN-klientpaketet på Linux-systemet, till exempel openvpn i Debian/Ubuntu eller motsvarande distributionsspecifika paketkälla.
  • För IPsec: NetworkManager med strongSwan-pluginet, till exempel network-manager-strongswan i Debian/Ubuntu.
  • Åtkomst till VPN Portal eller en administrativt tillhandahållen konfigurationsfil.

⚠️ Det finns ingen officiell Sophos Connect-klient för Linux. Guider eller nedladdningar som marknadsför en “Sophos Connect för Linux” är inte del av Sophos officiella utbud och bör inte installeras utan granskning.

Konfigurera SSL VPN med OpenVPN

Den officiellt av Sophos dokumenterade vägen för Linux är SSL VPN Remote Access med den klassiska OpenVPN-klienten.

1. Installera OpenVPN-klienten

På de flesta distributioner räcker pakethanterarens standardpaket, till exempel:

sudo apt install openvpn

Den som föredrar ett grafiskt gränssnitt kan dessutom installera NetworkManager-OpenVPN-pluginet, till exempel network-manager-openvpn-gnome, och importera anslutningen via det istället för att starta den via terminalen.

2. Ladda ner konfigurationsfilen

  1. Öppna VPN Portal för Sophos Firewall i webbläsaren.
  2. Logga in med VPN-användaren.
  3. Välj Linux under konfigurationsvalet.
  4. Ladda ner .ovpn-filen och spara den säkert.

3. Starta anslutningen via terminalen

sudo openvpn --config sophos-vpn.ovpn

Efter start frågar OpenVPN beroende på konfigurationen efter användarnamn och lösenord, därefter eventuellt en MFA-verifieringskod. Anslutningen består så länge processen körs. Om terminalfönstret stängs bryts även tunneln.

För en mer varaktig drift utan öppen terminal kan OpenVPN konfigureras som en systemd-tjänst eller anslutningen hanteras via NetworkManager.

4. Importera anslutningen via NetworkManager (valfritt)

  1. Öppna nätverksinställningarna.
  2. Lägg till en ny VPN-anslutning och välj Importera från fil.
  3. Välj den nedladdade .ovpn-filen.
  4. Spara användarnamnet om så önskas; lagra inte lösenordet permanent i klartext om MFA är aktivt.
  5. Starta anslutningen via det grafiska gränssnittet och ange inloggningsuppgifter respektive MFA-kod.

Det här alternativet är i vardagen mer praktiskt, eftersom det kan slås på och av som vilken annan nätverksanslutning som helst, utan att behöva hålla en terminal öppen.

IPsec med NetworkManager-strongSwan (alternativ)

Om IPsec ska användas istället för SSL VPN är NetworkManager-strongSwan-pluginet den vanliga vägen i Linux. Det här alternativet är mindre standardiserat i Linux än OpenVPN-vägen och bör framför allt planeras för IKEv2 Remote Access-scenarier.

1. Installera pluginet

sudo apt install network-manager-strongswan

Det exakta paketnamnet kan variera beroende på distribution.

2. Kontrollera anslutningstypen på brandväggen

strongSwan-pluginet för NetworkManager stöder IKEv2. På brandväggen måste Remote Access IPsec-profilen vara konfigurerad för IKEv2, inte för det äldre IKEv1. För autentiseringen stöder pluginet både certifikatbaserade metoder och EAP, till exempel användarnamn och lösenord. Vid preshared key-autentisering kräver pluginet en tillräckligt stark hemlighet; korta eller enkla PSK bör i princip undvikas.

3. Skapa anslutningen

  1. Öppna nätverksinställningarna.
  2. Lägg till en ny VPN-anslutning av typen IPsec/IKEv2 (strongswan).
  3. Ange gateway-adressen för Sophos Firewall.
  4. Välj autentiseringsmetod som passar brandväggens konfiguration: certifikat eller användarnamn/lösenord (EAP).
  5. Vid certifikatbaserad autentisering, ange serverns certifikat respektive den CA som brandväggen använder.
  6. Spara och testa anslutningen.

Eftersom den här vägen är mer beroende av distribution, pluginversion och den exakta IPsec-konfigurationen på brandväggen är den mer felbenägen än OpenVPN-vägen. För de flesta miljöer är därför SSL VPN via OpenVPN den mer robusta första metoden för Linux-klienter.

Kontrollera efter konfigurationen

  • Anslutningsstatus i OpenVPN respektive NetworkManager visar en aktiv session.
  • Interna DNS-namn löses upp via VPN-tunneln.
  • Ett tillåtet internt mål är nåbart, ett icke tillåtet mål förblir blockerat.
  • I brandväggens Log Viewer syns trafik från zonen VPN med den förväntade brandväggsregeln.
  • Vid MFA: verifieringskoden efterfrågas korrekt vid varje ny anslutning.
  • Efter en omstart av Linux-klienten återupprättas anslutningen antingen korrekt automatiskt eller startas medvetet manuellt, beroende på hur den konfigurerats.

Om anslutningen är upprättad men ingen trafik kommer fram hjälper testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Vanliga fel

  • Sökt efter en extern “Sophos Connect för Linux”-guide: Den här klienten finns inte officiellt. Använd istället OpenVPN eller NetworkManager-strongSwan.
  • Terminalfönster stängt och anslutning förlorad: Vid direkt anrop av openvpn --config bryter ett stängt terminalfönster tunneln. Använd NetworkManager-import eller en systemd-tjänst för kontinuerlig drift.
  • Gammal .ovpn-fil fortsatt använd efter brandväggsändring: Efter ändringar av gateway, certifikat, VPN-portalport eller autentisering måste konfigurationsfilen laddas ner på nytt.
  • IKEv1 istället för IKEv2 konfigurerat på brandväggen: NetworkManager-strongSwan-pluginet stöder bara IKEv2. Kontrollera profilen på brandväggssidan och anpassa vid behov.
  • För kort preshared key: Nyare pluginversioner kräver en minsta PSK-längd. En för kort hemlighet leder till ett anslutningsfel, inte till en osäker men fungerande anslutning.
  • Fel certifikat eller fel CA angiven: Vid certifikatbaserad IPsec-autentisering måste exakt den CA anges som brandväggen också använder. Ett något avvikande eller utgånget certifikat leder till ett anslutningsavbrott utan tydligt felmeddelande i klienten.
  • MFA-kod felaktigt tilldelad: Vid OpenVPN med MFA måste verifieringskoden anges i rätt fält och vid rätt tidpunkt. Vid osäkerhet, jämför inloggningsordningen med en fungerande Windows- eller macOS-klient.

FAQ

Finns det en officiell Sophos Connect-klient för Linux?

Nej. Sophos Connect finns tillgängligt för Windows och macOS. För Linux används istället standard-OpenVPN-klienten för SSL VPN eller NetworkManager med strongSwan-pluginet för IPsec.

Vilken väg är enklare i Linux: SSL VPN eller IPsec?

SSL VPN via den officiellt av Sophos dokumenterade OpenVPN-vägen är i regel enklare och mer robust. IPsec via NetworkManager-strongSwan fungerar, men är mer beroende av distribution, pluginversion och exakt brandväggskonfiguration.

Varför bryts VPN-anslutningen när jag stänger terminalen?

Om OpenVPN startas direkt med sudo openvpn --config körs anslutningen som en förgrundsprocess i terminalen. För en drift oberoende av terminalsessionen bör anslutningen importeras via NetworkManager eller konfigureras som en tjänst.

Stöder NetworkManager-strongSwan IKEv1?

Nej. Pluginet stöder bara IKEv2. Remote Access IPsec-konfigurationen på Sophos Firewall måste vara konfigurerad för IKEv2.

Måste .ovpn-filen laddas ner på nytt efter en brandväggsändring?

Ja, om gateway, certifikat, VPN-portalport eller autentisering har ändrats. En gammal konfigurationsfil använder annars föråldrade anslutningsdetaljer.